时间:2024-03-29
作为一个开源程序,WordPress的代码暴露在所有程序员眼中,任何Bug或漏洞很快会被揪出来,解决掉,从各方面来说,WordPress的安全性足够高,即便如此,基于WordPress的站点还是免不了被黑的一天,漏洞可能出现在其他地方,比如:
服务器操作系统的漏洞
同一个服务器上其他站点的漏洞
管理员密码,FTP密码被暴力破解
主题或插件的漏洞
登录信息被截取
WordPress网站被黑最常见的情况是被插入广告链接和恶意代码。网站被黑了,我们肯定很生气,很郁闷,可这对解决问题没有帮助。在这种情况下,我们最应该做的是控制一下情绪,清理恶意代码,恢复网站。
一旦网站被插入了恶意代码,每一个文件或文件夹都可能被插入恶意代码,最保险的办法就是全部替换这些文件,如果网站有备份,直接恢复备份是最快捷的办法。如果没有备份,或者备份不可用,我们就需要逐个替换文件了。按照以下步骤逐个替换文件,建议执行下面的操作之前先把被感染的网站备份一下。
网站根目录除了`wp-config.php`以外的其他文件,不包括文件夹
替换`wp-admin`和`wp-includes`文件夹,建议先彻底删除这两个文件夹,再上传新的上去。
替换`wp-content/plugin`文件夹里面所有的插件为从官方下载的版本。
删除`wp-content/uploads`和`wp-content/languanges`文件夹里面所有的`.php`文件。正常情况下,这两个文件夹里是没有PHP文件的,如果有,肯定就是恶意代码了。
如果你没有修改主题,下载原版的主题,替换被黑的主题。如果你修改过主题,最靠谱的办法就是查看一下每个文件和文件夹,把恶意代码清除掉。
现在,网站里面的恶意代码已被清理完毕。
没有绝对的安全,只有让别人攻击我们的网站时更加困难。下面是提高WordPress安全性的几点小建议,有兴趣的朋友可以逐条对照一下自己的网站。
不要使用FTP服务,FTP密码是明文传输的,很容易被嗅探到,使用SFTP,如果一定要使用FTP,请为FTP启用TLS/SSL支持。
不要图省事使用弱密码,想更安全一点,开启两步验证。
全站开启SSL加密,避免登录信息别同网络中不怀好意的人截取。
不要下载来历不明的主题或插件,特别不要使用网络上分享的高级主题或插件,如果需要,就直接去购买一份,花费远比网站被黑后带来的各种损失小。
及时更新服务器操作系统,WordPress内核,使用的主题和插件。
不要和容易被攻击的站点放在一个服务器上。
打死也不要和dedecms放在一个服务器上。
经常看看网站访问日志,看是否有异常访问。
使用Fail2ban限制暴力破解。
不要使用admin作为用户名。
修改wp-admin和wp-login.php的默认地址。
其实,上面的注意事项大家都知道,很多人会抱着侥幸心理不去防范,直到被黑了才追悔莫及,如果你的网站很重要,请一定要做足安全防范,预防永远比治疗有效。
以上是已经自己的经验总结出来的一点心得,如果你觉得又遗漏的,或者错误的地方,方便在评论中指出,我将随时保持文章更新,以方便又需要的朋友查看。
Copyright © 2019-2024 21329.com