WordPress
的确是一个很出色的平台,有着丰富的第三方插件和主题,也给博客主和广大读者提供了很棒的体验。但是,如果你不重视网站安全的话,你的博客很快就会成为黑
客眼中甜美的蛋糕了。在本文中,我们将会讨论到一下 WordPress 的安全隐患和一些应对方法。
如果你运行的是一个易手攻击的 WordPress,黑客可以进行以下几种破坏:
还有一些其他常见的原因:
Wordfence 提供免费的防火墙,病毒扫描,和流量监控。
Bulletproof 针对 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防护。
Better WordPress security 提供傻瓜式的操作。
Lockerpress 自定义登录 URL,更换管理员,还有一些自定义过滤的选项.
from http://wpforce.com/has-your-wordpress-blog-been-hacked/
问题出在哪了?
对于一个像 WordPress 一样复杂的 CMS,用户的程序是在不同的服务器上运行的,第三方插件,第三方主题也可能会存在一些缺陷。当破坏者通过某些缺陷进入了你的网站的话,你就有麻烦了。如果你运行的是一个易手攻击的 WordPress,黑客可以进行以下几种破坏:
- 1、在你的网站上执行任意代码。
- 2、注入脚本,HTML代码或者是直接编辑你的帖子。
- 3、导致无法访问(使网站崩溃,CPU 和带宽过载)。
- 4、注入或者执行 SQL 命令。
- 5、获取重要数据,例如你的密码。
- 6、把用户带到另外的网站,可能还是钓鱼网站。
- 7、跨站伪造记录(CSRF)。
- 8、在你的网站上创建一个隐藏的帖子,这个帖子只对搜索引擎可见,而且是导向到黑客的站点的。
- 9、植入后门。这样就算你修复了那些缺陷黑客还是可以进入你的网站。
- 10、在你的 PHP 核心代码和主题文件里面植入一段加密代码。
被黑的主要原因
一个很重要的原因就是你用的是过时的东西,比如 WordPress 核心程序,插件,主题。这就是为什么现在有那么多的相关服务来把升级变得更简单。其中 WP remote 和 InfitniteWP 是两个免费又好用的服务。还有一些其他常见的原因:
- 1、在下载了没有来源的主题,通常这些主题都是有后门的。
- 2、从一个感染了病毒的电脑进入你的 WordPress 网站。
- 3、管理员帐号的密码过于简单。
在哪里获得最新的漏洞信息
在 WordPress 3.X,已知的漏洞已经有30个,如果你的 WordPress 还是更旧的版本,漏洞就会更加多。这里有一个 Secunia 提供的所有已知 WordPress 漏洞的列表,或者你可以直接去关注一下 WordPress 的开发进展,订阅开发团队的博客 WordPress development blog。给你的博客上把锁
- 1、定时备份博客。这样就能确保你在任何时候都可以重建网站。
- 2、确保你的 WordPress 核心系统是最新的。
- 3、确保插件和主题是最新的。
- 4、不要使用未知来源的主题,通常都是有后门的,特别是那些放到免费网盘里面的破解主题。
- 5、用一个没有其他站点使用过的高强度密码。
- 6、确保你用来登录 WordPress 站点的电脑是没有病毒的。
- 7、监控服务器和用户数据,调查可疑的行为。
- 8、使用空白的 index.html 文件来禁止其他用户访问主题和插件目录。
- 9、在你的 meta 描述里面把你的 WordPress 版本好去掉。
- 10、通过 htaccess 文件来保护 WordPress 的 wp-admin 文件夹。
Wordfence 提供免费的防火墙,病毒扫描,和流量监控。
Bulletproof 针对 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防护。
Better WordPress security 提供傻瓜式的操作。
Lockerpress 自定义登录 URL,更换管理员,还有一些自定义过滤的选项.
from http://wpforce.com/has-your-wordpress-blog-been-hacked/
