WordPress安全防護攻略

個人近期做了乙個wordpress站點，目前處於內測階段，雖然公網還沒部署起來，但是先在這學習整理一下安全防護的問題。

由於33%的網際網路都在使用wordpress站點，免不了被不懷好意的人盯上，所以官方對安全性非常看重，有專業團隊監控並修復各種安全漏洞，可能會頻繁的更新補丁，所以我們一定要及時的安裝更新官方發布的穩定版本。這是官方設定的第一道防線。

不要貪圖便宜使用不知名公司的主機，要防火牆沒防火前，一堆漏洞，沒什麼專業的人維護。還有不要使用免費的主機，本身伺服器維護成本不低，還給你免費使用，想想都不對勁兒。如果被ddos攻擊，靠譜的主機方解決起來有實力。還可以使用cdn加速（付費），來隱藏真實ip。

養成不管做什麼，都要有備份的好習慣，即便被黑了，核心資料還在，根就在，怕啥；最壞的事故就是**徹底做雞了，還沒備份，那心裡的噶應感覺真是簡直了。

推薦的還有伺服器端快照備份和景象備份

資料備份外掛程式推薦： updraftplus 200多萬的安裝當前更新時間2023年3月（備份外掛程式恢復的話不是100%）

有個簡單的方法就是在你的主機伺服器上使用快照備份或者映象備份。

當**被人擼了後，應該不會閒的去告訴你，所以沒事的時候可以使用技術手段定時檢查一下**的安全漏洞啥的。有不少專業工具可以掃瞄，kali linux就可以攻擊wordpress，轉換下身份可以自己攻擊自己玩玩，又能增長知識還能提前發現安全隱患。

掃瞄外掛程式推薦： wordfence 當前更新於2023年3月

在你登入的時候，你可以看到瀏覽器位址列那有個位址(wp-admin)，如果你沒做修改的話，那是wp預設的後台位址，所以修改掉你的登入入口，可以有效防止被人發現你的後台位址。

第九：使用https協議

如果你的電腦有什麼**軟體或者監聽軟體，普通的傳輸方式可能是明文的，惡意者很容易竊取你的資訊。改成https放心多了

伺服器商官網都有修改https教程，如果你是wordpress站點的話，可以搜尋wordpress配置ssl。

wp是用php開發的，在訪問你的站點的時候有可能某個鏈結是.php的，一旦被發現php原始檔有漏洞的話，他可能就會做一些滲透。

在.htaccess檔案裡新增針對敏感目錄的規則，禁止直接訪問.php檔案

order allow,deny

deny from all

在安裝wp的過程中有個資料庫環節，其中有資料庫表字首wp_，這是預設的，如果你使用這個，可能會被撞到使用sql注入的形式攻擊你。有備份的話還好，沒備份就呵呵了。

個人站點是針對國內的，所以國外的一些ip就可以直接拒絕掉了，而且大部分進行cc攻擊的多數**是國外，只允許國內使用者訪問省事多了。

拒絕非中文使用者訪問：這需要修改 /usr/local/nginx/conf/duimin.com.conf，正常的非中文訪問的全部404錯誤頁面。

靠譜的主機服務商都包含主機安全，web防火牆，ddos防護，安全組策略(埠開放限制)等功能。

主要方法有：

禁止****訪問

盡量將**做成靜態頁面

限制連線數量

修改最大超時時間等

將以下**複製貼上到functions.php檔案中。

//
防止cc攻擊
session_start(); //
開啟session
$timestamp = time
();$ll_nowtime = $timestamp;//
判斷session是否存在 如果存在從session取值，如果不存在進行初始化賦值
if ($_session
)else
//現在時間-開始登入時間 來進行判斷 如果登入頻繁 跳轉 否則對session進行賦值
if(($ll_nowtime - $ll_lasttime) < 3)
}else

上面的location:可以修改為使用者多次重新整理後你需要顯示給使用者的**。這個**建議放在三方服務商上。

WordPress安全防護攻略

安全防護1

SELinux安全防護

簡單安全防護

WordPress安全防護攻略

安全防護1

SELinux安全防護

簡單安全防護

相關推薦