Fatal编程技术网

Wordpress有多安全?

wordpress

Wordpress有多安全?,wordpress,Wordpress,有人知道Wordpress有多安全吗? 我不知道如何定义“安全程度”。但与其他CMS系统相比,它的安全性如何 更新: 详细介绍一下我的项目。 我会有很多用户注册。一旦登录,他们就可以访问我正在开发的插件。大约6个月后,我还将提供付费服务——我想是贝宝。所有敏感细节将在PayPals https上处理 更新2: (15.07.2013) 我在MOZ上找到这篇文章:这部分取决于你的威胁模型。如果你想运行你自己的博客-没关系,只需掌握升级。如果您正在保护患者数据,则不安全。很多人抨击它,但据我所知,W

有人知道Wordpress有多安全吗? 我不知道如何定义“安全程度”。但与其他CMS系统相比,它的安全性如何

更新:

详细介绍一下我的项目。 我会有很多用户注册。一旦登录,他们就可以访问我正在开发的插件。大约6个月后,我还将提供付费服务——我想是贝宝。所有敏感细节将在PayPals https上处理

更新2:
(15.07.2013)
我在MOZ上找到这篇文章:

这部分取决于你的威胁模型。如果你想运行你自己的博客-没关系,只需掌握升级。如果您正在保护患者数据,则不安全。很多人抨击它,但据我所知,WP本身有一段时间没有出现任何大的安全漏洞。这是插件和错误配置

你将成为驾车黑客攻击的目标,在数千个试图投放垃圾邮件的网站上使用一个漏洞。这就是为什么随时掌握最新信息很重要的原因。但总的来说,它适合个人甚至公司使用。当然,我会推荐它而不是你自己的

有几种方法可以提高it的安全性:

  • 锁定不需要/不使用的部分,如xml rpc
  • 随时掌握最新信息
  • 不要使用插件
我真的不知道如何定义它的安全性,但我可以告诉你一些关于它的事情,这些应该可以帮助你下定决心

默认情况下,Wordpress不进行安全登录,因此用户名和密码以明文形式传递。大多数人都是这样使用Wordpress的

也就是说,从2.6版开始,您可以通过将以下内容添加到wp-config.php中,强制登录使用SSL:

define('FORCE_SSL_LOGIN', true);
您还可以通过以下方式选择对所有管理任务强制SSL:

define('FORCE_SSL_ADMIN', true);
这应该会很好。无论您使用的是哪种版本,都可以使用mod_rewrite强制管理员使用SSL:

RewriteRule ^/wp-admin/(.*) https://myblog.com/wp-admin/$1 [C]
如果SSL部件需要其他文件夹,请执行以下操作:

RewriteRule !^/wp-admin/(.*) - [C]
RewriteRule ^/(.*) http://myblog.com/$1 [QSA,L]
这将迫使wp-admin下的所有内容都在SSL下工作,其他所有内容都将被迫“常规”HTTP

<> Py>其他需要考虑的事情是MySQL。如果你的博客通过互联网与MySQL通信,你还有一件事要担心。不过,大多数设置在安全的网络中都有MySQL。如果MySQL与web服务器在同一台机器上运行,那么就更好了,这样您就可以在不依赖TCP/IP的情况下进行通信。

Wordpress的安全性并不高。我个人知道,我管理着10多个站点,它们不断受到来自世界各地的恶意服务器的攻击。(就像这个来自韩国的可爱的人)

我极力推荐。 你不需要使用你自己的安全,使用他们提供的,嘿,如果你喜欢,去专业!我与这家公司没有任何关系,但我在他们的插件方面取得了很多成功

按照所有步骤操作,锁定所有内容,修复文件权限,并祈祷好运。如果有人想进去,他们会找到办法的。您只能尝试降低所有风险

此外,如果您使用自己的linux虚拟主机(rackspace/amazon/etc),我建议您使用linux ufw。

sudo智能安装ufw
sudo ufw允许80次
sudo ufw允许22个
sudo ufw允许443
sudo ufw启用
sudo ufw状态

最后一个建议fail2ban是一个很好的资源,不是wordpress direct,而是任何登录到您的服务器的资源。它将锁定与更好的WP安全性类似的个人

祝你好运,让我们知道你的决定

查看您的网站,以获取有关恶意软件、垃圾邮件等的更多信息

1.使用安全插件 我建议使用有很多功能并且能够

  • 扫描超过44k个恶意软件定义
  • 检测网络钓鱼企图
  • 删除Sh3lls
  • 后门
  • 特洛伊木马
  • 监视器
  • DNS安全和更多
也是保护WP的好插件。也很有特色

(毫无疑问,这两个插件可以协同工作)

2.保护您的.htaccess安全 安全wp config.php

<Files wp-config.php>
    order allow,deny
    deny from all
    </Files>
保护.htaccess本身

<files .htaccess="">
order allow,deny
deny from all
</files>
(在互联网上可以找到许多其他信息)

3.保护自己
  • 使用强密码,切勿与任何人共享
  • 从社会工程中拯救自己
  • 来自
4.让自己得到更新。
  • 使用更新版本的WordPress、插件和主题
我在上有一个推荐和插件列表。至少在安装后提供推荐插件的快速列表:

ithemes安全-将/wp-login.php设置为不同的组合路径,并阻止xml rpc攻击向量
wordfence安全-自动禁止假冒爬虫程序、ping程序、攻击者-别忘了将您的ip地址列入白名单
数学验证码-添加到登录页面
wp slimstat-跟踪访客
-锁定所有类型的附件
-曲目下载
-完全禁用评论
-自动神奇地让一切保持最新

  • 您必须使用安全插件来保护您的WP站点。有很多插件可用。我在这里的文章中提到了最好的5个免费插件-

  • 攻击者首先检查wp-login.php URL。您必须隐藏指向其他内容的常规登录URL。您可以使用wps-hide-login插件

  • 永远不要使用像管理员、演示、管理员123、演示123、abc这样的用户名。这些是最常用的用户名

  • 使用强密码。你可以在这个网站上生成完全免费的强密码

  • 永远不要使用免费的主题或主题。免费主题包含易受攻击的脚本,可在不了解您的情况下进入WP admin

  • 始终更新所有插件和主题,因为它们不断更新安全补丁

    • 安装这四个安全保护 
    <files .htaccess="">
order allow,deny
deny from all
</files>

    RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?YourDomain [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]