Rumah >Tutorial CMS >WordTekan >Mengamankan WordPress Terhadap Serangan Hackers dan DDoS
Mengamankan WordPress Terhadap Serangan Hackers dan DDoS
- Joseph Gordon-Levittasal
- 2025-02-17 11:55:09184semak imbas
- Mengutamakan keselamatan pelayan dengan memilih hos berdasarkan keselamatan dan reputasi, bukan harga. Pastikan tuan rumah menjalankan versi perisian pelayan yang stabil, membolehkan firewall peringkat pelayan, membolehkan sandaran dan memulihkan yang kerap, dan mempunyai pengesanan pencerobohan.
- sentiasa mengemas kini WordPress, tema, dan plugin ke versi terkini sebaik sahaja ia tersedia. Gunakan pengurus kata laluan untuk menghasilkan kata laluan yang kompleks dan simpan dengan selamat.
- Mencegah serangan kekerasan dengan menambah lapisan perlindungan tambahan pada tahap skrin log masuk dengan http auth, memantau alamat IP yang cuba log masuk, mengunci mereka, dan menukar nama pengguna admin dari 'admin' ke nama anda sendiri atau sesuatu lain.
- Gunakan plugin keselamatan WordPress yang kerap dikemas kini dan sangat dinilai oleh komuniti WordPress. Kerap mengeluarkan plugin yang tidak digunakan dan ganti yang tidak disokong untuk meminimumkan kelemahan yang berpotensi.
Berita baik tentang ini adalah bahawa ia bermakna bahawa sering serangan dapat ditangani dengan cepat dan mudah. Ia tidak perlu untuk sampai ke panggung di mana serangan tidak merosakkan walaupun, kerana kebanyakan boleh dicegah di tempat pertama. Jadi hari ini, kami akan melihat bagaimana anda dapat menjamin pemasangan anda dan mengelakkan hacks biasa. mulakan dengan pelayan
Sebelum anda berfikir tentang mendapatkan laman web anda, anda harus bermula dari bawah dan itu bermakna memastikan pelayan hosting anda selamat di tempat pertama. Bermula dengan asas -asas, anda harus memilih tuan rumah berdasarkan keselamatan dan reputasi dan bukan pada harga. Walaupun saya pasti terdapat beberapa tuan rumah yang murah di luar sana, untuk sebahagian besar hosting yang berharga $ 2 sebulan tidak akan memotong mustard.
Kebanyakan perkhidmatan hosting WordPress yang diuruskan mempunyai reputasi untuk hosting yang selamat. Mereka tidak semua membenarkan beberapa plugin yang berkaitan dengan prestasi, jadi anda perlu menyemak terlebih dahulu untuk melihat apa yang akses dan tahap kawalan yang anda miliki.
kebanyakan mereka menawarkan:
- mengurus hosting WordPress
- kemas kini keselamatan automatik
- sandaran harian
- satu klik Poin Restore
- caching automatik
- Keselamatan Top-Tier
Apa sahaja tuan rumah yang anda memutuskan untuk pergi dengan anda harus memeriksa bahawa mereka menawarkan yang berikut:
- Jalankan versi perisian pelayan dan patch yang stabil seperti yang diperlukan
- Dayakan firewall peringkat pelayan
- membolehkan anda menyandarkan dan memulihkan kerap dan mudah (tapak dan pangkalan data)
- Pengesanan pencerobohan
tuan rumah yang diuruskan (seperti wpengine misalnya) Gunakan caching yang dilalui melalui CDN, jadi jika anda benar Cache. Ini adalah cara mudah untuk menubuhkan laman web anda supaya semua trafik yang dilalui melalui cache CDN kemudian juga melalui lapisan soket selamat (SSL/TLS). Jika anda memerlukan tangan mendapatkan kepala anda di sekitar teknologi ini, saya akan mengesyorkan panduan visual berikut oleh MaxCDN. Bagi kepentingan pendedahan penuh, saya bekerja untuk MaxCDN, tetapi saya pasti anda akan mendapati mereka menjadi sumber yang berguna:
- Apa itu CDN?
- Bagaimana SSL berfungsi
- menyediakan WordPress dengan cache total W3 dengan CDN
Perhatikan bahawa konfigurasi berikut adalah untuk pengguna canggih yang biasa dengan pengekodan atau tugas sysadmin asas. Jika anda tidak, maka minta pemaju web anda untuk menetapkan ini untuk anda.
log masuk, kata laluan dan plugin
Hanya satu perkataan yang cepat mengenai satu ini yang berulang berulang memandangkan lebih daripada 70% pemasangan WordPress terdedah kepada serangan. Sentiasa pastikan bahawa apabila anda telah memasang WordPress yang anda kemas kini ke versi terkini sebaik sahaja ia tersedia. Begitu juga dengan tema anda dan untuk semua plugin yang anda gunakan. Perkara yang sama berlaku untuk perisian pelayan anda. Ia mungkin terdengar jelas kepada ramai di antara kamu, tetapi statistik bercakap untuk diri mereka sendiri, terdapat banyak, banyak versi lama platform yang dipasang.Ketika datang ke kata laluan, saya menjumpai orang setiap hari yang masih menggunakan sesuatu seperti 'CompanyName123' sebagai kata laluan mereka dan ini adalah orang yang berada dalam industri teknologi dan harus tahu lebih baik. Jadi untuk diri sendiri dan setiap pengguna lain, menghasilkan kata laluan yang kompleks dan simpan dalam pengurus kata laluan seperti LastPass, ia lebih selamat dengan cara itu.
Gunakan kemas kini automatik
Untuk memastikan bahawa kemas kini kecil dan utama berlaku di WordPress secara automatik, anda boleh membuat perubahan kecil pada kod yang akan memohonnya. Ini menghilangkan keperluan untuk anda melakukannya secara manual (hanya kemas kini kecil yang digunakan secara automatik untuk WordPress v.3.7 dan kemudian) tetapi anda harus memastikan bahawa anda mengaktifkan sandaran secara automatik dan kerap sekiranya ada sesuatu yang salah dan memerlukan laman web anda.
Untuk mengaktifkan kemas kini, gunakan kod berikut ke fail wp-config.php anda:
<span>#Enable all core updates, including minor and major: </span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>
Lebih umum bahawa anda akan mengalami masalah dengan kemas kini automatik jika anda menggunakan plugin yang tidak dikemas kini dengan kerap, jadi cuba pastikan plugin yang anda pasang dikekalkan dan sokongan tersedia jika mungkin.
Lumpuhkan pelaporan ralat phpJika plugin atau tema yang anda gunakan melemparkan ralat, maka mungkin mesej ralat yang dihasilkan akan memaparkan laluan pelayan anda yang seterusnya dapat dicegat oleh penggodam. Dengan ini, anda harus melumpuhkan pelaporan ralat dengan menambahkan kod berikut ke fail WP-config.php anda:
<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span> Sebagai alternatif, jika anda tidak yakin apabila menyunting fail konfigurasi anda, maka anda boleh meminta hos web anda untuk melumpuhkannya untuk anda. Hentikan serangan kekerasan kekejaman
Jika anda memantau berapa banyak percubaan masuk di laman WordPress anda setiap hari, anda mungkin akan terkejut. Ini adalah serangan biasa yang boleh dicegah dengan tahap tertentu dengan menggunakan kata laluan yang kompleks. Serangan kekerasan secara umumnya datang dari botnet yang cuba meneka kata laluan pentadbir anda. Anda boleh mengurangkan risiko dan menghentikan serangan kekerasan yang paling banyak dengan menambahkan lapisan perlindungan tambahan pada tahap skrin log masuk dengan http auth.
Untuk melakukan ini, anda perlu terlebih dahulu kata laluan melindungi direktori anda dengan menyediakan perlindungan kata laluan .htaccess. Sebaik sahaja anda telah melakukan ini, anda perlu menambah kod berikut ke fail .htaccess anda:
<span>#Protect wp-login </span><span><files wp-login.php=""> </span>AuthUserFile <span>~/.htpasswd </span>AuthName <span>"Private access" </span>AuthType Basic <span>require user mysecretuser </span><span></files></span>Ini akan membawa kotak pengesahan yang mendorong anda untuk dimasukkan ke dalam nama pengguna dan kata laluan anda dan kemudian anda perlu log masuk pada skrin log masuk WordPress biasa - anda harus menggunakan kata laluan yang berbeza untuk kedua -duanya.
anda juga boleh menghalang serangan kekerasan dengan memantau alamat IP yang cuba log masuk dan kemudian mengunci mereka. Atau, anda hanya boleh menukar nama pengguna admin dari 'admin' ke nama anda sendiri atau sesuatu yang lain dan kemudian memadamkan profil pengguna admin lalai. Anda dan webmaster/pemaju anda benar -benar harus menjadi satu -satunya orang yang mempunyai hak pentadbiran di seluruh laman web.
Eksploitasi berasaskan URL
Ini benar -benar menusuk dalam kegelapan untuk penggodam yang cuba mencari tempat yang lemah di laman web ini dengan membuat permintaan URL yang harus mengembalikan kesilapan tetapi kadang -kadang selesai.
URL mungkin kelihatan seperti ini: http://yourwebsite.com/your/files/%3g/config
Biasanya, penggodam akan menggunakan pendakap pembukaan di URL jadi pertama, untuk mengatasinya, perlu menghasilkan 403 halaman terlarang untuk menghentikan sebarang permintaan yang mengandungi pendakap. Untuk melakukan ini, tampalkan baris berikut ke dalam fail .htaccess anda:
<span>#Enable all core updates, including minor and major: </span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>
Untuk membuat peraturan yang lebih kompleks, anda tidak perlu menulis semua kod itu sendiri. Jika anda biasa dengan bekerja dengan .htaccess dan laman web anda berada di pelayan Apache, maka anda boleh menggunakan firewall 5G yang merupakan senarai hitam untuk eksploitasi biasa. Anda tidak perlu menggunakan semua baris sama ada, kerana ia adalah modular, dan sekiranya ia menghasilkan kesilapan, anda boleh memadam garis demi baris sehingga anda menemui masalah.
anda boleh melindungi fail .htaccess sendiri dengan menambahkan baris berikut ke fail:
<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>
Plugin Keselamatan WordPress
Anda tentu saja boleh menggunakan salah satu plugin keselamatan yang tersedia untuk WordPress juga. Sebelum pemasangan, anda harus menyemak bahawa mana -mana plugin yang anda gunakan disokong dan dikemas kini dengan kerap. Jika ya, maka anda juga harus menyemak penilaian dan ulasan untuk menentukan yang dilihat sebagai yang terbaik oleh komuniti WordPress.
ingat juga, jika anda mempunyai banyak plugin pada pemasangan anda, secara berkala mengeluarkan apa -apa yang anda tidak gunakan. Tanya diri anda jika fungsi yang mana mana -mana plugin yang diberikan membolehkan anda benar -benar perlu dan memotong yang boleh anda lakukan tanpa. Bagi plugin yang anda telah dinyahaktifkan, anda juga harus memadamkannya kerana mereka menyediakan cara yang berpotensi untuk penggodam. Jika plugin tidak lagi disokong, maka anda harus mencari alternatif kerana ia pasti akan membuat kelemahan pada satu ketika, jika belum.
Untuk sebahagian besar, keselamatan WordPress adalah mengenai penggunaan akal dan pemahaman bahawa banyak masa, hacks dan malware boleh diturunkan kepada kesilapan oleh pengguna akhir. Untuk sebahagian besar, penggodam masuk melalui eksploitasi dalam perisian, jadi jika anda memastikan bahawa anda sentiasa mempunyai versi terkini, anda akan melakukan pekerjaan yang baik untuk melindungi diri anda. Hacker mencari laluan yang paling mudah kecuali mereka mensasarkan anda secara khusus, jadi ketatkan laman web anda dan jangan memudahkan mereka.
bacaan selanjutnya
Jika anda menarik dalam membaca lebih lanjut, inilah pilihan artikel terdahulu yang berkaitan dengan WordPress Security di SitePoint yang patut dilihat:
- apa yang anda tidak tahu mengenai plugin keselamatan WordPress
- bagaimana melindungi diri anda dari plugin WordPress Rogue
- Panduan Definitif untuk Penyelenggaraan WordPress
- mengurus WordPress Hosting: The Pro and Cons
- pengesahan 2-langkah untuk WordPress menggunakan Google Authenticator
- Membongkar kelemahan WordPress dengan mudah
- Panduan untuk mengemas kini WordPress, Plugin dan Tema
- Mencegah serangan kekerasan terhadap laman web WordPress
soalan yang sering ditanya mengenai mengamankan WordPress dari Hackers dan DDoS Attacks
Apakah amalan terbaik untuk mengamankan laman WordPress saya dari penggodam? Kemas kini ini sering termasuk patch keselamatan yang dapat melindungi tapak anda dari kelemahan yang diketahui. Di samping itu, gunakan kata laluan yang kuat dan unik untuk akaun admin WordPress anda dan hadkan percubaan masuk untuk mengelakkan serangan kekerasan. Memasang plugin keselamatan yang bereputasi juga boleh memberikan lapisan tambahan perlindungan dengan mengimbas malware dan menyekat aktiviti yang mencurigakan. Dengan melaksanakan firewall aplikasi web (WAF) yang boleh menyaring trafik yang berniat jahat. Perkhidmatan seperti Cloudflare dan Sucuri menawarkan WAFS yang dapat melindungi tapak anda dari serangan DDoS. Di samping itu, menggunakan rangkaian penghantaran kandungan (CDN) boleh membantu mengedarkan lalu lintas di beberapa pelayan, mengurangkan kesan serangan DDoS. Secara kerap menyandarkan laman web anda juga dapat memastikan bahawa anda dapat pulih dengan cepat sekiranya serangan.
Apakah faedah menggunakan rangkaian penghantaran kandungan (CDN) untuk laman WordPress saya? (CDN) boleh meningkatkan prestasi dan keselamatan tapak WordPress anda. Dengan mengedarkan kandungan tapak anda di pelbagai pelayan di seluruh dunia, CDN dapat mengurangkan beban pada pelayan utama anda dan menyampaikan kandungan kepada pengguna dengan lebih cepat. Ini dapat meningkatkan kelajuan dan pengalaman pengguna laman web anda. Di samping itu, CDN dapat membantu melindungi tapak anda dari serangan DDOS dengan mengedarkan lalu lintas di seluruh rangkaiannya.
Bagaimana saya boleh mengehadkan percubaan masuk ke laman WordPress saya?
Mengehadkan percubaan masuk ke laman WordPress anda dapat membantu mencegah serangan kekerasan. Anda boleh melakukan ini dengan memasang plugin keselamatan yang menyediakan ciri ini. Plugin ini boleh menyekat alamat IP selepas beberapa percubaan masuk yang gagal. Anda juga boleh menetapkan tempoh penguncian dan menyesuaikan bilangan percubaan log masuk yang dibenarkan. Tapak. Jika anda kerap menambah atau mengemas kini kandungan, anda harus mempertimbangkan sandaran harian. Jika laman web anda tidak sering berubah, sandaran mingguan atau bulanan mungkin mencukupi. Tidak kira kekerapan, pastikan anda menyimpan sandaran anda di lokasi yang selamat dan pertimbangkan menggunakan perkhidmatan sandaran yang menawarkan sandaran automatik. Plugin keselamatan yang bereputasi untuk WordPress, termasuk Wordfence, Sucuri, dan IThemes Security. Plugin ini menawarkan pelbagai ciri, seperti pengimbasan malware, perlindungan firewall, dan keselamatan masuk. Mereka juga boleh menghantar makluman kepada anda jika mereka mengesan aktiviti yang mencurigakan di laman web anda. pelbagai kaedah. Plugin keselamatan sering menyediakan ciri pemantauan, memberi amaran kepada anda tentang sebarang ancaman yang berpotensi atau aktiviti yang mencurigakan. Secara kerap mengkaji semula log akses laman web anda juga boleh membantu mengenal pasti sebarang tingkah laku yang luar biasa. Di samping itu, pertimbangkan untuk menggunakan perkhidmatan yang menyediakan pemantauan dan peringatan masa nyata.
Apa yang perlu saya lakukan jika laman WordPress saya digodam? Kenal pasti dan keluarkan perisian hasad. Ini boleh dilakukan menggunakan plugin keselamatan atau perkhidmatan penyingkiran malware profesional. Sebaik sahaja malware dikeluarkan, kemas kini semua teras WordPress, tema, dan plugin anda ke versi terkini. Tukar semua kata laluan dan semak akaun pengguna untuk memastikan tiada akaun yang tidak dibenarkan telah dibuat. Akhirnya, pulihkan laman web anda dari sandaran yang bersih dan pantau laman web anda dengan teliti untuk sebarang aktiviti yang mencurigakan lagi.
Atas ialah kandungan terperinci Mengamankan WordPress Terhadap Serangan Hackers dan DDoS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!