=
x

WordPress安全防范

WordPress安全防范是非常重要,如果WordPress安全上除了问题,那么网站排名将受到影响。这里介绍下简单的WordPress安全防范方法。

1、利用插件

WordPress Antivirus可以扫描模板中的异常、病毒木马等,非常好。但是也有不足:1、对于部分链接买卖的代码、阿里妈妈推广代码、部分跳转代码会报警搞,所以不要随意的删除文件,需要斟酌。2、WordPress Antivirus仅限于扫描模板,所以对于附件目录、源码程序,都是无法扫描的。

2、附件检查

这是在我的阿里云云盾使用体验中发现的。发现uploads下的一些目录有php文件,阿里云云盾提示有后门,我检查之后发现的却。后来想到,是不是还有一些也有呢,于是我查了服务器上的其他WordPress的uploads目录,真的发现了,果断删除。

如果你的主机或者服务器有SSH支持,可以使用“find /var/www/example.com/wp-content/uploads -name *.php”来查找。

3、源码检查

在附件检查后,需要检查源码,很多朋友会忽略,包括我自己。今天早上在看到wp-admin目录有多出文件,打开一看并不是WP的文件,中招了。

一般的处理方法是下载最新的WordPress程序将原来网站程序覆盖,其实这样是不够的,因为如果有多处的文件,显然是不能覆盖的。正确的处理方法:

删除wp-admin、wp-includes,然后再WordPress源码覆盖网站程序。

4、查看POST-META-KEY

很多插件,比如post-view等,都会自动为每一篇文章增加一个post-meta-key,具体表现是在文章编辑器下面的“自定义栏目”,如下图:

WordPress自定义栏目
WordPress自定义栏目

当你在上图下拉菜单中,发现有与插件或者手动添加到无关的名称,那么就可能出问题了。今天(2013-10-09)发现菜单中多出了一个"runphp"的名称,这明显是用于执行PHP木马的一个名称,果断通过 DELETE FROM wp_postmeta WHERE meta_key = 'runphp'; 命令删除了。

5、增加wp-admin后台登陆验证

直接让访问你们的域名 *.com/wp-admin时,弹出验证,验证通过才能进入后台登陆界面,这样为网站后台增加了一道防线。apache下具体参照方法:WordPress后台安全,wp-admin添加验证

6、文件及文件夹读写权限

一般我们常犯的错误就吃777权限,其实WP不是所有的都建议是用此权限,我整理了WordPress文件及文件夹读写权限安全建议,可以解决权限问题。

7、拒绝Frame

使用 X-Frame-Options HTTP 响应头可以设置是否允许网页被 <frame> 、<iframe> 或 <object> 标签引用,网站可以利用这点避免点击劫持(clickjacking),以确保网页内容不被嵌入到其他网站。IIS、PHP、nginx、Apache都可以使用 X-Frame-Options 拒绝网页被 Frame 嵌入来提高网站安全。

发表评论

您的电邮不会被公布。

*