WordPress黑客攻防战

WordPress是使用PHP语言开发的内容管理平台，用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站/博客。

WordPress有诸多优点：

1.功能强大、扩展性强，其插件众多，功能易于扩充，基本上一个完整网站该有的功能，通过其第三方插件都能实现所有功能；

2.搭建的网站对seo搜索引擎友好，收录也快，排名靠前；

3.适合DIY，如果你喜欢内容丰富的网站，那么wordpress可以很好地符合你的胃口；

4.主题很多，各色各样，应有尽有；

5.WordPress备份和网站转移比较方便，原站点使用站内工具导出后，使用WordPress Importer插件就能方便地将内容导入新网站；

6.有强大的社区支持，有众多开发者贡献和审查wordpress，非常活跃。

WordPress目前已经成为世界上最受欢迎的内容管理系统。

2017年底统计的数据是占据内容管理系统市场份额接近60％，而排名第二的竞争对手Joomla（CMS的比较）仅占6.3％。

更令人惊叹的是，到目前为止，世界上有26.9％网站都在使用WordPress，该类网站每月访问量是223.1亿次。

随着WordPress运用的广泛，WordPress黑客也越来越常见。黑客在入侵网站之后，可以在上面搭载钓鱼页面，传播恶意软件，盗取敏感信息等。那如何应对呢？本文将给出防止WordPress黑客的9个技巧。

1.备份

定期的数据备份是一个巨大的保险，特别是在黑客攻击之后。

采取必要的措施确保你的WordPress网站或博客上的信息在进行任何重大更改之前进行备份，并且建议在更新后执行相同的操作。

尽管大多数人喜欢手动备份数据，但使用插件可以使你的工作更易于管理。

插件可以在设定的时间点或时间间隔自动备份，在此推荐Backup buddy。

虽然该插件付费，但是它可以帮你把WordPress上的设置、文件、图像和数据库上的所有内容中导出。当然也有免费插件可供选择。

2.保持WordPress版本的更新

定期更新你的博客/网站到最新的WP版本可以为你节省很多麻烦。除了让你的体验更好，还能修补被黑客利用的安全漏洞。

你可以简单地按照WordPress提供的链接更新，或者以管理员身份登录到博客/网站。请务必关注WordPress的开发博客，及时了解下一个补丁或新版本何时发布。

3.检查主题和插件以获得持续支持

这也是一个防备黑客的必要选择。

建议只使用持续支持和更新的插件和主题。因为大多数开发者只提供大约一两年的支持，然后就停止了。

过时的插件/主题最好完全卸载它们。

选用主题或插件时，确保它会定期更新，评分较高，客户的评价也不错。你会惊讶地发现大部分最畅销的主题已经过时，或者很长一段时间才获得更新。在下订单前最好看看评论区的“红旗”警示，以及其他的产品缺陷描述。

大多数高级WordPress主题与第三方插件（作为“免费赠品”）捆绑在一起，而这些第三方插件可能不会经常更新。

例如，插件Revolution Slider就和 ThemeForest主题捆绑了在一起，它在2014年有一个严重的漏洞。

使用此插件的数千个网站被黑客入侵，大部分黑客将流量重定向到恶意网站。尽管开发者推出了主题更新，但捆绑的插件漏洞没有得到修补，许多网站损失惨重。

作为一项预防措施，请考虑选择未捆绑的插件。如果实在需要的话，请分别购买每个插件，以减少你网站上的漏洞。你还需要打开这些插件的更新，以保持网站的安全。

4.保持WP管理员目录安全

WP中的admin目录应始终受密码保护，它是网站每个功能和安全的关键。保护WP-admin目录的密码有助于防止黑客和其他恶意人员进入。

这需要管理员输入两个密码才能进入管理员目录。

保护WP-admin目录的另一种方法是安装AskApache Password Protect插件。该插件配置增强了文件的安全权限并使用.htpasswd文件对目录进行加密。

5.使用SSL证书加密数据

使用SSL证书来保护管理面板是一个明智的举措。此认证确保服务器和用户浏览器之间的数据传输已加密，几乎不可能泄露。

它增强了网站的数据安全性，而获得SSL证书也很容易，你可以从一个专门的证书公司购买。

另一个选择是使用“Let’s Encrypt SSL”证书，一个开源产品，免费。此外在WP网站上使用SSL证书还可以帮助提高网站在Google上的排名。

6.更改默认的URL登录地址

更改默认的WP登录地址可为你的站点提供额外的安全性，你可以通过访问该网站的管理员网址来完成此操作。

重命名URL使得黑客很难蛮横地进入网站。用GWDb测试新的登录细节，看看是否有人能猜到你的登录细节。

虽然只是一个简单的操作，但这个技巧有助于限制未经授权的用户进入你的登录页面。只有具有登录URL和详细信息的个人才能访问仪表板。你也可以使用iThemes安全插件来更改你的登录地址。

7.切勿使用公共Wi-Fi登录

公共Wi-Fi会对你的设备、网站和在线活动构成多重威胁。同一网络上的其他恶意人员或正在运行的数据包嗅探软件都可以嗅出你发送的任何个人数据。

如果你必须登录到WP网站管理员面板，请确保你已安装SSL证书，或者VPN。

运行VPN是一个好习惯，永远不要低估一个黑客。

8.禁用文件编辑

对WP站点仪表板有访问权的用户可以编辑甚至删除站点上的文件，这包括已经安装的主题和插件。

在网站上禁用文件编辑意味着只有你可以对网站进行修改，而且任何可以访问WP仪表板的黑客都会发现他对你网站上的文件几乎无能为力。

要实现这一设置，请将以下命令添加到位于最后的wp-config.php文件中。

Define (‘DISALLOW_FILE_EDIT’, true);

9.使用正确的服务器配置和连接

在首次建立网站时，最好是通过SSH或SFTP连接服务器。与传统的FTP协议相比，SFTP安全性更强。

通过SFTP和SSH连接服务器可确保文件的安全传输。大多数虚拟主机提供商可以根据要求提供这种服务，有些服务提供商将其作为软件包的一部分提供；你也可以手动启用这些功能。

最后是，如果你发现网站被黑，想要自己清理WordPress网站，可以参考这个方法：

https://sucuri.net/guides/how-to-clean-hacked-wordpress