WordPress网站安全防范五招

XiaoD
XiaoD
XiaoD
122
文章
0
评论
2017年9月15日16:28:09 评论 56 944字阅读3分8秒

WordPress安全防范是非常重要,如果WordPress安全上除了问题,那么网站排名将受到影响。这里介绍下简单的WordPress安全防范方法。

1、利用插件

WordPress Antivirus可以扫描模板中的异常、病毒木马等,非常好。但是也有不足:1、对于部分链接买卖的代码、阿里妈妈推广代码、部分跳转代码会报警搞,所以不要随意的删除文件,需要斟酌。2、WordPress Antivirus仅限于扫描模板,所以对于附件目录、源码程序,都是无法扫描的。

2、附件检查

这是在我的阿里云云盾使用体验中发现的。发现uploads下的一些目录有php文件,阿里云云盾提示有后门,我检查之后发现的却。后来想到,是不是还有一些也有呢,于是我查了服务器上的其他WordPress的uploads目录,真的发现了,果断删除。

如果你的主机或者服务器有SSH支持,可以使用“find /var/www/example.com/wp-content/uploads -name *.php”来查找。

3、源码检查

在附件检查后,需要检查源码,很多朋友会忽略,包括我自己。今天早上在看到wp-admin目录有多出文件,打开一看并不是WP的文件,中招了。

一般的处理方法是下载最新的WordPress程序将原来网站程序覆盖,其实这样是不够的,因为如果有多处的文件,显然是不能覆盖的。正确的处理方法:

删除wp-admin、wp-includes,然后再WordPress源码覆盖网站程序。

4、查看POST-META-KEY

很多插件,比如post-view等,都会自动为每一篇文章增加一个post-meta-key,具体表现是在文章编辑器下面的“自定义栏目”,如下图:

WordPress网站安全防范五招

WordPress自定义栏目

当你在上图下拉菜单中,发现有与插件或者手动添加到无关的名称,那么就可能出问题了。例如:发现菜单中多出了一个"runphp"的名称,这明显是用于执行PHP木马的一个名称,果断通过 DELETE FROM wp_postmeta WHERE meta_key = 'runphp'; 命令删除了。

5、增加wp-admin后台登陆验证

直接让访问你们的域名 *.com/wp-admin时,弹出验证,验证通过才能进入后台登陆界面,这样为网站后台增加了一道防线。

继续阅读
XiaoD
  • 本文由 发表于 2017年9月15日16:28:09
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接。
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: