更新日期: 2017-09-22
WordPress作为一个全球使用范围最广的内容管理系统(CMS),难免被人觊觎。这有点类似Windows电脑会有很多病毒,而Mac则相对好很多的这种情况。
对于中小外贸企业而言,确保网站安全和稳定还是非常有必要的。通常情况下,我们能做好以下一些方面就基本能让网站相对安全和稳定:
- 选择可靠的主机,比如 Bluehost、Linode,务必避免使用免费的、劣质的主机;
- 升级WP到最新版,但是需要注意的问题是,要确保你购买使用的WP主题明确表示已经支持最新版Wordpress了,否则容易导致网站出现乱七八糟的问题;
- 尽量使用官方的 主题、插件,这一点非常重要,如果使用来源不明的主题和插件,被挂马的可能性就太高了;
- 避免使用admin作为登录名,安装的时候自己设置即可,如果是使用Bluehost的一键安装的时候一般默认是邮箱地址的;
- 使用高级复杂密码,这里要推荐个密码管理工具,1Password,有Mac、iOS、Windows版,用了3年了,我除了支付密码不存里面,其他的都完全交给它了;
- 修改登录入口、修改目录权限、隐藏WP版本信息
- 备份、备份、备份!
不存在“绝对安全”的,连Google、Baidu这种大公司都有被黑的时候,我们这种每天流量几十到数百、数千不等的外贸网站,只是因为“被针对性黑的价值”不够高而已。
即便如此,我们也需要做好能做好的,以护周全。
如何限制登陆错误次数
更新日期: 2017-09-21 问题 为防止密码被暴力破解,如何限制某个访客在尝试登陆的错误次数达到一定数量的时候就禁止访问? 解决方法 安装激活 Login LockDown 插件。虽然插件很久不更新了,不过经测试在 wordpress 4.8.2 版本中还是能正常使用的 [...]
如何阻止文件目录浏览
更新日期: 2017-09-21 问题 很多虚拟主机对于文件目录浏览的权限默认情况下都是开放的,这并不安全。你的文件目录中有哪些文件都能一目了然,如果里面有备份的压缩文件,那就个更加是能直接被下载了, 尤其是备份文件的压缩包里面可是明文的存着数据库的账号密码。(关于备份文件的处理我们单 [...]
如何隐藏WP版本信息
更新日期: 2017-09-21 问题 不同的Wordpress版本可能会特定的Bug之类的,所以尽量避免暴露自己所用的WP版本。 比如目前我的站点,4.8.2版本,打开首页查看源代码,搜索“4.8.2”,里面会有7条信息。 使用不同主题和插件,出现 ver=4.8.2 的地方也会不一 [...]
解决xmlrpc.php被攻击
更新日期: 2017-12-04 网站打开非常非常慢,甚至直接报503 Service Unavailable的错误。 很有可能是因为网站被DDos了,什么?一个小破外贸网站也会被人DDos? 嗯,确实有可能,比如像下图所示,不知道哪个傻x就是想要黑了USEON的后台。他尝试了2种方式: [...]
一个错误的安全设置方法
更新日期: 2017-09-21 网上的文章抄来抄去的,其中关于Wordpress安全设置的,有一个方法是不妥当的:针对搜索引擎的保护 很多WordPress系统文件不需要被搜索引擎索引,因此,修改你的robots.txt文件,增加一行Disallow: /wp-*并不是影响网站打开,而是 [...]