1. 苏葳的备忘录首页
  2. 软件

WordPress的基本安全设置

wordpress mysql 安全一个博客站点身处互联网的浩瀚海洋里,如果有些流量的话,每天不知道要经受多少有意无意的攻击。WordPress作为非常流行的建站程序,代码公开,资料众多,有心人可以很快熟悉WordPress的内部机制。这样,你的WordPress站点稍有不慎,就可能成为别人恶作剧的牺牲品。其实源码公开并不意味着软件系统对黑客门户大开,Linux就是一个例子。前提是你需要遵守一些最其码的安全规则。那么,WordPress中有哪些基本的安全设置是我们可以去做的呢?

首先是安装时需要指定的WordPress使用的MySQL数据库的名称,一定不要使用默认值。WordPress代码足够安全,并不会把你的数据库名称暴露在外,但是如果你简单的使用了默认值,那么一个有经验的WordPress老手会一下猜中你的数据库名称。然后就可能会使用一些工具尝试攻破你的数据库并执行一些调皮的语句。

其次是表的前缀,我们在讨论WordPress的设置时,都会指出哪些参数或数据放在wp_XXXX表里面,这个就是WordPress表的命名规则。如果使用了这个默认的表名,一旦你的Web服务被攻破,或者MySQL数据库被成功入侵,对方可以简单的用select语句获取你的信息或者用update或delete语句破坏你的数据。这其实跟WordPress没有太大关系,但是在给大门上锁的同时,给窗户加上防盗网会更安全一些。改掉这个前缀,能让黑客多费点心思,也许他会就此失去耐心。

再有就是管理用户的登录链接。网站域名加上wp-login、wp-admin或者admin是常用的三个WordPress登录入口。这三个登录入口告诉攻击者,锁孔就在这里,你想办法打开它吧。如果我们把登录链接改成一个只有我们自己知道的地址。那么黑客就会发现,它首先要找到锁孔在哪里。这个地址显然是不可能通过穷举得到的。这里的设置其实也与WordPress无关,你需要在你运行WordPress的Web服务上,比如Apache或Nginx等里面,用rewrite规则重写这个登录地址。这样当黑客尝试这三个公开地址时,只会得到报错提示,甚至你可以直接踢掉它的IP,毕竟你到别人家门口试图捅开门锁已经是个过份的举动了。

还有一个就是WordPress本身存在争议的地方,就是默认admin用户的ID从来就是1。虽然一般用户可能不会关注这个普通的数字,但熟悉WordPress的人可能用这个ID值构造出一个颇具威胁的攻击串,经过若干次尝试后获得你WordPress的最高权限。如果你改掉这个值,那么黑客又要面临猜数字的问题了。如果这个数字足够大,那么黑客会放弃这种尝试。我们可以在MySQL数据库中直接改掉这个值,也可以通过一些安全插件来做,至于我自己,我不想花时间去深究这个ID值在哪些表里存在。所以我删掉了所有用户,然后把MySQL数据库的用户ID列的增量起始值设成一个很大的数字,然后再增加用户。此时MySQL会为这个用户分配一个很大的数字ID,而WordPress会自动维护所有表中的该用户ID值。

当然还有许多其它设置能提高你博客站点的安全性。比如数据库备份,比如安全审计日志等。但上面这几条是最基本的,而且代价很小。如果关注安全问题的话,不妨安装一个可信赖的安全插件,比如iTheme Security等,这些插件通常能够检测你的WP站点中的安全隐患,并帮你完成一些安全操作。网站安全需要关注的地方很多,多堵上一个漏洞,就会让黑客多碰一个钉子,当他感觉到攻破你的网站的收益不足以偿付他的努力的时,就会调头而去,寻找下一个猎物。对于大多数仅仅因为好奇想窥探你的网站内幕的坏孩子,做到以上几条,就足以让他们灰心丧气了。

原创文章,作者:苏葳,如需转载,请注明出处:https://www.swmemo.com/1786.html

发表评论

邮箱地址不会被公开。 必填项已用*标注