32步WordPress网站安全终极检查清单:第28~32步

来源:柚子科技 WordPress 主题、WordPress插件    date:2022-9-21    标签:    WordPress主题themes插件plugins开发定制

网站安全,是许多WordPress新手容易忽略的一个重要问题。如何确保WordPress网站安全,也是许多刚刚接触WordPress的用户面临的一个难题。WordPress中文网本系列教程教你介绍一系列的步骤,来保护你WordPress网站的安全。这一些列步骤共分32步,今天介绍第28~32步。

全文目录

32步WordPress网站安全终极检查清单 – 目录

28. 禁用XML-RPC功能(如果你用不到它的话)

WordPress允许其他应用软件通过应用程序接口(简称API)来进行远程访问。也就是说,其他应用程序可以可以访问你的网站。一个典型的应用就是XML-RPC,你可以用它来更新网站内容。

有很多插件也依赖于XML-RPC功能,比如Jetpack插件包就用到了XML-RPC功能。

然而,XML-RPC也可能被黑客用来攻击你的网站。

今天,很多用户相信XML-RPC和WordPress内核一样安全,然而实际上XML-RPC有可能被黑客用来进行钓鱼诈骗。如果你的网站开启XML-RPC的话,你可能会发现每天有一二十次访问记录。

如果你确信自己不会去用第三方的应用来访问WordPress,网站上的WordPress插件也不需要这一功能,那么你可以安装插件来禁用XML-RPC功能。

29. 禁用PHP错误报告功能

在你进行网站开发的时候,错误报告就像是一个救生圈。在错误来临的时候,它可以精确地告诉你错误的位置,这样你可以很快修复错误。

然而,在生产网站上,错误报告会给黑客可乘之机,让他们可以轻易获取一些有价值的信息。

比如说,下面这是一条错误报告:

32步WordPress网站安全终极检查清单:第28~32步

这条报告泄露了该账户的用户名。如果别人正要找机会入侵你的网站,那么这是一条非常关键的信息。

这只是一条错误信息,如果你要查找攻击目标的弱点的话,其他的错误报告还会给你更多。

要关闭PHP错误报告,你可以将以下代码放到你的 php.ini 文件之中:

error_reporting = 4339  
display_errors = Off  
display_startup_errors = Off  
log_errors = On  
error_log = /home/example.com/logs/php_error.log  
log_errors_max_len = 1024  
ignore_repeated_errors = On  
ignore_repeated_source = Off  
html_errors = Off

这样可以加强你WordPress网站的安全性,减少网站敏感信息暴露的可能性。

30. 安装防火墙

防火墙可以分为两大类,或者说主要有两种用途。在网络安全领域,防火墙主要用于分隔不同类型的网络。要么阻止外部的进入,要么阻止内部的出去。

如果要做类比的话,防火墙就像是保镖:只有在派对邀请名单上的重要人物,才可以进入。如同派对保票禁止非受邀人士进入派对一样,软件防火墙通常用于禁止黑客接近你的网站。

对于WordPress网站的安全,我们通常使用网络应用防火墙(Web Application Firewall,简称WAF)来组织黑客使用他们的小脏手进入不欢迎他们的地盘。

WAF有很多种,但是在WordPress服务器上,可以用到的最为可靠、免费、并且开源的防火墙,就是ModSecurity防火墙。

你可以询问你的主机服务商,来看看你的服务器空间上是否有安装并开启这个防火墙。一旦启用这个防火墙,你的主机服务商以及你聘请的WordPress程序员,就可以来设置ModSecurity规则,来保护你的WordPress网站的安全。

WordPress中文网为用户提供的专业WP主机空间,全部安装有ModSecurity防火墙,安全可靠。

31. 使用CDN防火墙

CDN(全称Content Delivery Network,内容分发网络)主要是通过存储网页资源来优化网站性能。

同时,CDN还提供额外的功能:绝大多数CDN可以保护WordPress网站的安全。

如果你在使用CDN(如果网站访问量较大,你也有必要使用),那么你同样应该设置好安全规则,来提升对你WordPress网站的保护。

32. 通过安全日志监视WordPress网站安全

如果你不知道网站遇到了什么样的攻击,那么你也就无法阻止这些攻击,对吧?

通过监控日志,你可以提升对WordPress安全的保护。比如说,如果你发现有大量的攻击尝试,都来自于某个国家,而这个国家并不是你关注的对象,那么你可以设置一个规则来屏蔽这个国家。

当然,这只是一个监控日志的简单例子。

如果你可以直接访问主机服务器,也可以选择OSSEC来监控服务器的日志。否则,你也可以选择安装WordPress Security Audit Log插件来监控你的安全日志。