Wordpress 准备渗透测试

我已经为一个重要项目使用WordPress作为CMS提出了理由

它向我提出了挑战，让我在本地（WAMP）服务的内部网旁建立这个基础WP安装，并尽我所能锁定它。然后，他们将使用企业级渗透测试软件攻击安装

我只知道最少量的详细信息，但是我遇到的一些安全工具已被提及，并将与企业级软件一起使用：

Kali.org

工具来自

瓦塔博

我所做的： 删除了所有基本的可湿性粉剂开箱即用数据，如管理员用户名、更改登录页面URL、删除ajax调用、利用插件中的所有选项（这非常令人印象深刻）以及我自己的一些

---

我的问题是获取有关保护WordPress运行2015主题及其PHP框架和数据库的高级建议。正确的htaccess配置和可能的陷阱。关于保护网站的任何高级方法的建议，这些方法可能会导致笔试失败。

要使网站完全不受攻击并不容易，特别是如果你选择了Wordpress

你应该不断更新你的Wordpress网站。这意味着您必须跟踪所有更新并立即安装它们。有时，如果一切都正常工作，而且数据库也不小，那么要做到这一点并不容易。Wordpress是世界上最流行的开源CMS，许多人想要破解它，编写在线搜索漏洞的爬虫程序等等

提高任何网站安全性的简单步骤：

如果您不使用某个端口，请关闭该端口或安装防火墙、tcpwrapped等

永远不要使用FTP。改用SSH

不要对整个文件夹设置权限777。设置为555，当您需要上传一些图像或其他内容时，将权限更改为777或755（如果您是通过ssh实现的）。完成工作后，将权限更改回555。如果不允许写入，任何人都无法通过前端将有效负载或其他恶意代码上载到您的网站

检查您的网站是否存在sql注入漏洞

不要使用简单的密码。你甚至可以每月更改密码

不要重复密码

定期更新你的软件

对于后端安全性，您可以使用一些ID，例如Snort-，但正确配置并不容易。此外，您应该了解网络的工作原理、tcp/ip、攻击类型等等

如果您不太了解信息安全，请使用OpenBSD作为您的服务器操作系统。它是在强调加强安全的情况下创建的

使用一些网络扫描程序（例如nmap）测试服务器的漏洞

---

最后：我不建议使用Wordpress以获得可靠的安全性：），我还需要再多说一句，看看这个网站。

如果你真的想耍花招的话，把面向公众的东西放在一个类似清漆的静态缓存后面。