-
互联网安全法,互联网净网行动
-
”净网2020”落实好维护网络安全责任
-
关于端午节放假通知-宇众网络
-
宇众网络春节放假通知
-
关于公司收款银行账户变更通知函-宇众网络
-
关于网上有人冒充我公司名义进行诈骗的公告。
-
关于端午节放假通知,节日放假,但是我们业务不“放假”-宇众网络
-
工信部进一步加强未备案网站管理工作的通知-宇众网络
-
关于东莞市宇众网络科技有限公司香港数据中心(香港机房)路由优化通知
-
宇众网络庆祝五·一劳动节快乐
-
东莞东城机房网络升级通知
-
临近过年,互联网IDC贵圈也有被骗的,请认准宇众网络公司官方联系方式
-
我司已获得ISP/ICP/IDC三证资格,更好的为客户服务
-
关于浙江金华高防机房网络线路切割通知
-
工信部近日下发关于进一步规范域名备案工作的通知
网站安全防护-以WordPress为例
问题出在哪了?
对于一个像 WordPress 一样复杂的 CMS,用户的程序是在不同的服务器上运行的,第三方插件,第三方主题也可能会存在一些缺陷。当破坏者通过某些缺陷进入了你的网站的话,你就有麻烦了。
如果你运行的是一个易受攻击的 WordPress,黑客可以进行以下几种破坏:
1、在你的网站上执行任意代码。
2、注入脚本,HTML代码或者是直接编辑你的帖子。
3、导致无法访问(使网站崩溃,CPU 和带宽过载)。
4、注入或者执行 SQL 命令。
5、获取重要数据,例如你的密码。
6、把用户带到另外的网站,可能还是钓鱼网站。
7、跨站伪造记录(CSRF)。
8、在你的网站上创建一个隐藏的帖子,这个帖子只对搜索引擎可见,而且是导向到黑客的站点的。
9、植入后门。这样就算你修复了那些缺陷黑客还是可以进入你的网站。
10、在你的 PHP 核心代码和主题文件里面植入一段加密代码。
被黑的主要原因
一个很重要的原因就是你用的是过时的东西,比如 WordPress 核心程序,插件,主题。这就是为什么现在有那么多的相关服务来把升级变得更简单。其中 WP remote 和 InfitniteWP 是两个免费又好用的服务。
还有一些其他常见的原因:
1、在下载了没有来源的主题,通常这些主题都是有后门的。
2、从一个感染了病毒的电脑进入你的 WordPress 网站。
3、管理员帐号默认admin,并且设置的密码过于简单。往往把后台默认管理员admin修改成别的,然后密码强度设置高点,就比较安全了。
在哪里获得最新的漏洞信息
在 WordPress 3.X,已知的漏洞已经有30个,如果你的 WordPress 还是更旧的版本,漏洞就会更加多。这里有一个 Secunia 提供的所有已知 WordPress 漏洞的列表,或者你可以直接去关注一下 WordPress 的开发进展,订阅开发团队的博客 WordPress development blog。
给你的博客上把锁
1、定时备份博客。这样就能确保你在任何时候都可以重建网站。
2、确保你的 WordPress 核心系统是最新的。
3、确保插件和主题是最新的,不要用不安全的插件。
4、不要使用未知来源的主题,通常都是有后门的,特别是那些放到免费网盘里面的破解主题。
5、用一个没有其他站点使用过的高强度密码。
6、确保你用来登录 WordPress 站点的电脑是没有病毒的。
7、监控服务器和用户数据,调查可疑的行为。
8、使用空白的 index.html 文件来禁止其他用户访问主题和插件目录。
9、在你的 meta 描述里面把你的 WordPress 版本好去掉。
10、通过 htaccess 文件来保护 WordPress 的 wp-admin 文件夹。
还有一些很好用的插件,我个人推荐以下几个:
Wordfence 提供免费的防火墙,病毒扫描,和流量监控。
Bulletproof 针对 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防护。
Better WordPress security 提供傻瓜式的操作。
Lockerpress 自定义登录 URL,更换管理员,还有一些自定义过滤的选项。
希望本文可以帮到各位主机站长!