前几天连续发现博客有漂浮广告出现,但不是我自己添加的。怀疑博客中了木马,我把整个博客的程序和数据库都删除了,上传了最新的WordPress3.0的程序,重建数据库。花了我3个小时左右时间才完成。所以写一篇如何打造WP的安全体系。
WP由于是开源程序,所以会衍生一些新的版本,如汉化版等。如果你确定可以信赖这些衍生版本,当然可以使用。如果你不确定它的可信度,就要去官方网站下载最新的程序。
WP3.0不会强制生成admin这个用户和随机密码,这样黑客就不知道管理员的帐号了,防止暴力破解。写文章要新建一个编辑帐户,就可随时发表文章。WP3.0从用户权限方面增加了安全系数。建议使用最新的程序。
在安装WP的时候,有一项是创建数据库表文件,可以填写表文件的前缀,默认是“WP_”不要使用这个前缀,SQL注入首先就是要知道数据库表名,改掉这个前缀就增加了数据库的安全系数。
WP的主程序选用了之后,就是选用主题和插件。一些黑客攻击网站的目的很简单,他们的动机就是把自己的广告植入人家的网站,利用别人网站的流量来为自己赚钱,所以这个环节也不能出现疏漏。主题和插件的选用,最好是那些著名的,著名主题和插件较为安全,如果有漏洞也会有人很快提出来。
将重要的文件设置成只读权限,一般的虚拟主机将上传的文件都会设置成默认的权限。这里重点要防护config.php这个文件,一定要设置成只读,否则黑客很容易盗取你的WP。安装文件也是重点防护对象,安装完毕后最好把它直接删除了,一些损人不利己的人要是把你的博客重置,就太划不来了。
如果您的主题中有关于WP的版本信息,必须要删掉。版本就代表着这个版本原有的漏洞已为人知,黑客可以毫不费力的利用这个漏洞来攻击你的博客。这里建议每个WP博客,都要安装一个WP Security Scan插件,这款插件可以评估你博客的安全等级,可以完成修改数据表前缀、删除WP版本信息等。
保证使用管理员权限登录博客时的上网环境安全,很多网上银行被盗并不是黑客攻击了银行系统,而是通过客户端盗取了帐号和密码。
定期备份数据,只要有数据什么时候能重新恢复,这是最后一道屏障。至少一个月要备份一次,使用WP自带的工具备份就好,也可以使用WP DB Backup插件来进行备份。
通过以上方法,你已经获得了基本的WP安全保证,下一篇会写如何打造WP的进阶安全体系。
本文由 网赚培训https://www.egship.com 首发,转载请您保留链接,非常感谢!!!
(举报)