摘要
作为一个有五六年博客折腾经历的个人站长来说,明月自身对网站安全或者说Wordpress安全认知几乎就是一个小白了,在我的观念里始终认为网站安全=服务器安全,跟建站系统的关系微乎其微。事实证明,我的这种认识让我受网站后门、木马的侵扰达近两年之久。年前的百度联盟被封也不排除有这方面的影响。至于说被挂黑链、占用带宽、服务器宕机、数据丢失、垃圾评论狂轰滥炸等等这些更是让我苦不堪言。
作为一个有五六年博客折腾经历的个人站长来说,明月自身对网站安全或者说 WordPress 安全认知几乎就是一个小白了,在我的观念里始终认为网站安全=服务器安全,跟建站系统的关系微乎其微。事实证明,我的这种认识让我受网站后门、木马的侵扰达近两年之久。年前的百度联盟被封也不排除有这方面的影响。至于说被挂黑链、占用带宽、服务器宕机、数据丢失、垃圾评论狂轰滥炸等等这些更是让我苦不堪言。
今天我就 WordPress 网站安全来说说自己的经历以及最近几天在这方面“折腾”的收获分享给大家!
WordPress 作为一个老牌儿博客系统存在各种各样的安全漏洞理论上是很正常的,版本号的更迭大部分都是修补安全漏洞,这也就说明安全与否是个“矛与盾”的的故事,没有永远的安全!所以网站安全不能完全的交给 WordPress,良好的使用和维护习惯也是必不可少的,我总结了几点分享给大家:
[v_blue]
安装插件是一定要在 WP 官方网站上安装,最好是在线安装。
安装插件是尽量选择最新版或者是“最近更新”时间最短的,如果时间在一年以上的能不安装就不要安装了,这么长时间肯定会有漏洞存在的。
每次更新或者安装完 WordPress 后,记得删除 wp-admin\install.php 文档,以免被利用。
定期检查服务器根目录有没有可疑文件,这点可以利用 FTP 软件的“目录比较”与本地的 WordPress 目录进行比对。
当发现网站出现批量的垃圾评论时,基本就可以判定服务器的安全漏洞被攻破了!(文章后面有安全设置参考)
时刻注意观察网站首页载入是浏览器左下角的状态栏提示看有没有载入不明链接!
定期修改 WP 后台密码或者开启自定义 wp-login 登录加密(可自行百度了解)。
定期检查 wp-content/uploads 目录下有没有出现.php 文档,一旦发现第一时间清除,这条可以利用 FTP 软件的"搜索远程文件“来提高效率。
杜绝一切非官方插件的测试习惯。
上传主题包是一定要在本地做好后门、木马检测,可借助 Windows 自带的安全软件。我的建议有条件尽量使用收费主题,提高网站收录几率的同时,还可以保障安全!
[/v_blue]
有了上述良好的使用习惯后并不保证就可以万事大吉了,还有服务器上的一些必要安全设置千万不要忽略了,因为明月使用的是 Linux 的服务器,所以这里就以 Apache 为主讲讲其安全设置。
针对 Apache 的安全配置可以利用服务器根目录下的.htacess 文档来实现,关于.htacess 可能很多站长并不陌生,当要实现 WP 的网址静态化是.htacess 是必不可少的一个环节,当然.htacess 可并不是仅仅用来网址静态化的,其对网站的安全有非常大的作用,今天明月就分享一下自己这一周时间收集整理测试过的、目前正在使用的.htacess 文档代码,希望可以给大家带来一个安全的服务器平台。
小知识:
.htaccess 文件(或者"分布式配置文件")提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过 Apache 的 AllowOverride 指令来设置。
概述来说,htaccess 文件是 Apache 服务器中的一个配置文件,它负责相关目录下的网页配置。通过 htaccess 文件,可以帮我们实现:网页 301 重定向、自定义 404 错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
Unix、Linux 系统或者是任何版本的 Apache Web 服务器都是支持.htaccess 的,但是有的主机服务商可能不允许你自定义自己的.htaccess 文件。
启用.htaccess,需要修改 httpd.conf,启用 AllowOverride,并可以用 AllowOverride 限制特定命令的使用。如果需要使用.htaccess 以外的其他文件名,可以用 AccessFileName 指令来改变。例如,需要使用.config ,则可以在服务器配置文件中按以下方法配置:AccessFileName .config 。
笼统地说,.htaccess 可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定 IP 地址的用户、只允许特定 IP 地址的用户、禁止目录列表,以及使用其他文件作为 index 文件等一些功能。
.htacess 因为其文档的命名规则是 Linux 系统的,Windows 下最好使用专业的 TXT 文本编辑软件(如:EditPlus)来编辑保存。为了方便大家有选择的使用我尽量都做了中文注释,大家可以直接复制粘贴制作自己的.htacess 文档上传到网站根目录下即可。
# BEGIN WordPress 网址静态化
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
# BEGIN 保护 .htaccess 自身的安全性
order allow,deny
deny from all
# END
# BEGIN 保护 wp-config.php 文件
order allow,deny
deny from all
# BEGIN
# 防止图片盗链(请修改 youdomain 为你自己的网站域名)
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?yourdomain.com/.*$ [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://www.yourdomain.com/logo.jpg [R,L]
# 重定向到 www(请修改 youdomain 为你自己的网站域名)
RewriteEngine On
RewriteCond %{HTTP_HOST} ^yourdomain.\.com$ [NC]
RewriteRule ^(.*)$ [R=301,L]
# 限制上传文件的大小
LimitRequestBody 10240000
# 隐藏服务器的数字签名
ServerSignature Off
# 禁止显示目录列表
Options -Indexes
# 保护 wp-includes 目录
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# 缓存有效时间 1 年
Header set Cache-Control "max-age=29030400, public"
# 缓存有效时间 1 周
Header set Cache-Control "max-age=604800, public"
# 缓存有效时间 2 天
Header set Cache-Control "max-age=172800, proxy-revalidate"
# 缓存有效时间 1 分钟
Header set Cache-Control "max-age=60, private, proxy-revalidate"
另外为了防止后门程序利用 uploads 目录可写权限防止后门程序,所以要在 uploads 目录下上传一个.htacess 文档用来禁止运行.php 文件。内容如下:
# 禁止在此目录下运行.php 文档
Order Allow,Deny
Deny from all
目前明月的两个网站在有了这样的安全设置后已经快一周时间没有看到垃圾评论的骚扰了,网站速度和服务器运行也很流畅,总之感觉安全了很多。这里明月强烈建议各位新老站长们一定要注意网站安全问题,不要像明月因为安全问题造成百度联盟被封、网站宕机后才重视,说实话损失真的不小呀!
本文最后更新于2019年7月6日,已超过 1 年没有更新,如果文章内容或图片资源链接失效和错位的,请留言反馈,我们会及时处理,谢谢!
扫一扫
433
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
