域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

WordPress 的確是一個(gè)很出色的平臺(tái)，有著豐富的第三方插件和主題，也給博客主和廣大讀者提供了很棒的體驗(yàn)。但是，如果你不重視網(wǎng)站安全的話(huà)，你的博客很快就會(huì)成為黑 客眼中甜美的蛋糕了。在本文中，我們將會(huì)討論到一下 WordPress 的安全隱患和一些應(yīng)對(duì)方法。

問(wèn)題出在哪了?

對(duì)于一個(gè)像 WordPress 一樣復(fù)雜的 CMS，用戶(hù)的程序是在不同的服務(wù)器上運(yùn)行的，第三方插件，第三方主題也可能會(huì)存在一些缺陷。當(dāng)破壞者通過(guò)某些缺陷進(jìn)入了你的網(wǎng)站的話(huà)，你就有麻煩了。

如果你運(yùn)行的是一個(gè)易受攻擊的 WordPress，黑客可以進(jìn)行以下幾種破壞：

1、在你的網(wǎng)站上執(zhí)行任意代碼。

2、注入腳本，HTML代碼或者是直接編輯你的帖子。

3、導(dǎo)致無(wú)法訪(fǎng)問(wèn)(使網(wǎng)站崩潰，CPU 和帶寬過(guò)載)。

4、注入或者執(zhí)行 SQL 命令。

5、獲取重要數(shù)據(jù)，例如你的密碼。

6、把用戶(hù)帶到另外的網(wǎng)站，可能還是釣魚(yú)網(wǎng)站。

7、跨站偽造記錄(CSRF)。

8、在你的網(wǎng)站上創(chuàng)建一個(gè)隱藏的帖子，這個(gè)帖子只對(duì)搜索引擎可見(jiàn)，而且是導(dǎo)向到黑客的站點(diǎn)的。

9、植入后門(mén)。這樣就算你修復(fù)了那些缺陷黑客還是可以進(jìn)入你的網(wǎng)站。

10、在你的 PHP 核心代碼和主題文件里面植入一段加密代碼。

被黑的主要原因

一個(gè)很重要的原因就是你用的是過(guò)時(shí)的東西，比如 WordPress 核心程序，插件，主題。這就是為什么現(xiàn)在有那么多的相關(guān)服務(wù)來(lái)把升級(jí)變得更簡(jiǎn)單。其中 WP remote 和 InfitniteWP 是兩個(gè)免費(fèi)又好用的服務(wù)。

還有一些其他常見(jiàn)的原因：

1、在下載了沒(méi)有來(lái)源的主題，通常這些主題都是有后門(mén)的。

2、從一個(gè)感染了病毒的電腦進(jìn)入你的 WordPress 網(wǎng)站。

3、管理員帳號(hào)的密碼過(guò)于簡(jiǎn)單。

在哪里獲得最新的漏洞信息

在 WordPress 3.X，已知的漏洞已經(jīng)有30個(gè)，如果你的 WordPress 還是更舊的版本，漏洞就會(huì)更加多。這里有一個(gè) Secunia 提供的所有已知 WordPress 漏洞的列表，或者你可以直接去關(guān)注一下 WordPress 的開(kāi)發(fā)進(jìn)展，訂閱開(kāi)發(fā)團(tuán)隊(duì)的博客 WordPress development blog。

給你的博客上把鎖

1、定時(shí)備份博客。這樣就能確保你在任何時(shí)候都可以重建網(wǎng)站。

2、確保你的 WordPress 核心系統(tǒng)是最新的。

3、確保插件和主題是最新的。

4、不要使用未知來(lái)源的主題，通常都是有后門(mén)的，特別是那些放到免費(fèi)網(wǎng)盤(pán)里面的破解主題。

5、用一個(gè)沒(méi)有其他站點(diǎn)使用過(guò)的高強(qiáng)度密碼。

6、確保你用來(lái)登錄 WordPress 站點(diǎn)的電腦是沒(méi)有病毒的。

7、監(jiān)控服務(wù)器和用戶(hù)數(shù)據(jù)，調(diào)查可疑的行為。

8、使用空白的 index.html 文件來(lái)禁止其他用戶(hù)訪(fǎng)問(wèn)主題和插件目錄。

9、在你的 meta 描述里面把你的 WordPress 版本好去掉。

10、通過(guò) htaccess 文件來(lái)保護(hù) WordPress 的 wp-admin 文件夾。

還有一些很好用的插件，我個(gè)人推薦以下幾個(gè)：

Wordfence 提供免費(fèi)的防火墻，病毒掃描，和流量監(jiān)控。

Bulletproof 針對(duì) XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防護(hù)。

Better WordPress security 提供傻瓜式的操作。

Lockerpress 自定義登錄 URL，更換管理員，還有一些自定義過(guò)濾的選項(xiàng)。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！