大约一个月前,这个博客被黑客入侵(编按:Amit Agarwal 的网站)。而其他托管于相同主机商的网站像是 ctrlq.org 和 hundredzeros.com 也深受其害,黑客成功从网络上拿下了这些网站。
托管网站的主机商表示这可能发生于某些使用旧版的 WordPress 网站,导致密码不幸泄漏,这段时间虽然历经一些艰难,但幸运的是被删除的网站已经恢复,且流量也回到正常。
以下是我所做的更改,用来提高我的 WordPress 网站安全性,纵使这样的意外可能再次发生。
#1 使用你的 Email 作为登录帐号
当你安装完一个 WordPress 网站时,默认的第一位用户为 “admin”。你应该建立不同的用户名称来管理你的 WordPress 网站,并将默认用户 “admin” 删除,或是将它的权限从“系统管理员”降级为“订阅者”。
你也可以建立一个完全乱数(难以被猜中)的用户名称,然后使用你的 Email 来登录 WordPress。插件 WP-Email Login 可以加入此支持,使用你的 Email 取代帐号登录。
#2 不要向全世界显示你的 WordPress 版本
WordPress 网站会在源代码显示版本号,让其他人能够知道你正在执行旧的 WordPress。
要从网页里移除 WordPress 版本是很简单的一件事,但你需要做一些额外的增强,从你的 WordPress 目录将 readme.html 文件删除,因为它也会把你所使用的 WordPress 版本显示给全世界。
#3 别让其他人拥有”写入”你 WordPress 目录的权限
登录你的 WordPress 网站 Linux 系统列,执行以下指令来取得所有“公开”、其他用户皆能写入的目录列表。
find . -type d -perm -o=w
你也许可以执行以下两行指令,来将你 WordPress 内的文件和目录设置为正确的权限(参考资料)。
find /your/wordpress/folder/ -type d -exec chmod 755 {} \; find /your/wordpress/folder/ -type f -exec chmod 644 {} \;
对目录来说,755(rwxr-xr-x) 意味着只有拥有者具备写入权限,其他人只有读取和执行的权限。对文件来说,644 (rw-r–r–) 意味着只有文件拥有者具备读取和写入权限,其他人为只读。
#4 重新命名你的 WordPress 数据库前缀
如果你使用默认选项来安装 WordPress 的话,你的 WordPress 数据库应该会像是 wp_posts 或 wp_users。将数据库的前缀(wp_)更改为其他随机值是比较好的作法,插件 Change DB Prefix 可以让你在弹指之间重新命名你的数据库前缀。
#5 防止用户浏览你的 WordPress 目录结构
这很重要。开启你 WordPress 根目录底下的 .htaccess 文件,然后在最上方加入这行。
Options -Indexes
这能够防止其他人在能建立文件列表时看到你文件夹内的所有文件。例如目录下缺少默认的 index.php 或 index.html 时。
#6 更新 WordPress 安全密钥
开启此网页来为你的 WordPress 网站产生八组安全密钥。开启 WordPress 目录下的 wp-config.php 文件,将默认的密钥以产生的密钥取而代之。
这些随机的字串能使你储存于 WordPress 的密码更加安全,另一个好处是,当有人在你不知情的情况下登录 WordPress,他们将会被立即登出,使他们的 cookies 失效。
#7 保留 WordPress PHP 和数据库错误记录
从错误记录有时候可以发现针对你 WordPress 所发出的无效数据库查询或文件查询。我更喜欢插件 Error Log Monitor,因为它能定期通过 Email 发送错误日志到你的邮箱,也能显示于你的 WordPress 后台。
要在 WordPress 启用错误日志功能,将以下代码代码加入你的 wp-config.php 文件,记得要把 /path/to/error.log 替换为你的日志文件实际路径。error.log 应该放在无法直接从浏览器存取得到的目录。(参考资料)
define('WP_DEBUG', true); if (WP_DEBUG) { define('WP_DEBUG_DISPLAY', false); @ini_set('log_errors', 'On'); @ini_set('display_errors', 'Off'); @ini_set('error_log', '/path/to/error.log'); }
#8 以密码保护 Admin 后台
使用密码来保护 wp-admin 目录是一个不错的方法,因为浏览你的公开 WordPress 网站并不需要用到这目录下的任何文件。一旦设置完成,即使是授权的用户也需要输入两道密码才能登录他们的 WordPress 后台。
#9 追踪你的 WordPress 服务器登录动态
你可以在 Linux 下使用 “last -i” 指令来列出所有登录你 WordPress 服务器的用户,包括他们的 IP 位址。如果你发现列表内有未知的 IP 来源,那肯定要修改密码了。
此外,下面的指令将显示较长时间区间的登录动态,并使用 IP 位址分组(将 USERNAME 改为你的用户名称)。
last -if /var/log/wtmp.1 | grep USERNAME | awk '{print $3}' | sort | uniq -c
使用插件来监控你的 WordPress 网站
WordPress.org 插件库拥有不少好用的安全相关插件,可以持续监控你的 WordPress 网站是否有被入侵,或是其他可疑活动。这些是我会建议使用,也较为基本的安全插件。
- Exploit Scanner – 它会迅速扫描你的所有 WordPress 文件和文章,并列出潜藏恶意代码代码的。例如垃圾链接可能会使用 CSS 或 IFRAME 方式隐藏在你的 WordPress 文章里,而这个插件可以将它们找出来。
- WordFence Security – 这是一个非常强大、且应该使用的安全插件。它会比对你 WordPress 的核心文件和原始文件间是否已被修改。而且,该插件会锁定尝试登录你的网站却失败的用户。
- WordPress Sentinel – 另一个实用的插件,可以监控你的 WordPress 文件,当有任何文件被加入、删除或修改时会发出警告。
- WP Notifier – 如果你不常登录你的 WordPress 后台,那这插件适合你。它会在你安装的主题、插件和 WordPress 核心有新的更新时以 Email 通知你。
- VIP Scanner – “官方”安全插件将扫描你的 WordPress 主题有无任何问题,它也能检测出有无任何的广告代码代码被注入你的 WordPress 主题里。
小技巧:你也可以使用以下 Linux 指令来列出近三天被修改的文件列表。将 mtime 改为 mmin 可以看到 “n” 分钟前被修改的文件列表。
find . -type f -mtime -3 | grep -v "/Maildir/" | grep -v "/logs/"
提高 WordPress 登录页面安全性
你的 WordPress 登录页面是每个人都可以存取的,但如果你想防止未授权的用户登录 WordPress,你有以下三种选择。
- 使用 .htaccess 加入密码保护 – 在 WordPress 认证以外加入另一道帐号密码来保护你的 wp-admin 目录。
- Google Authenticator – 这出色的插件能为你的 WordPress 加入两步骤验证功能。除了输入正确的密码外,还必须搭配手机应用程序来输入随机产生的验证码。
- Login Dongle – 这个插件使用一个非常独特的方法来保护你的 WordPress。它能产生一个书签列(加上秘密问题),你可以将它加入浏览器。当你要登录 WordPress 时,输入你的密码并按下书签列才能登录 WordPress – 登录页面的按钮将无法使用。
更多推荐:安装 WordPress后你应该做的25件事,wordpress全面优化指南
最新评论