做有价值的网站,助力企业发展!

专注于企业网站建设、营销型网站建设、Web/微网站建设、企业营销推广

百度地图|网站地图|RSS地图

服务热线:

133-8386-7325

当前位置:郑州伟之琦计算机科技 > 新闻中心 >> 公司新闻 >>

网站建设中WordPress的安全隐患和防护方法

  WordPress的确是一个很出色的平台,有着丰富的第三方插件和主题,也给博客主和广大用户提供了很棒的体验。但是,如同加强织梦CMS安全性一样,网站建设中如果不重视网站安全的话,很快就会成为黑客眼中甜美的蛋糕。在本文中郑州建站公司将会讨论到WordPress的安全隐患和一些应对方法。
  一、问题出在哪里?
  对于一个WordPress复杂的CMS,用户的程序是在不同的服务器上运行的,第三方插件,第三方主题也可能会存在一些缺陷。当破坏者通过某些缺陷进入到我们网站上的话就会出现麻烦。
  如果网站制作中运行的是一个易受攻击的WordPress,黑客可以进行以下几种破坏:
  1、在网站上执行任意代码。
  2、注入脚本,HTML代码或者是直接编辑内容。
  3、导致无法访问(使网站崩溃,CPU 和带宽过载)。
  4、注入或者执行SQL命令。
  5、获取重要数据,例如:密码。
  6、把用户带到另外的网站,可能是钓鱼网站。
  7、跨站伪造记录(CSRF)。
  8、在网站上创建一个隐藏的帖子,这个帖子只对搜寻引擎可见,而且是导向到黑客的站点。
  9、植入后门,这样就算修复了那些缺陷黑客还是可以进入网站。
  10、在PHP核心代码和主题文件里面植入一段加密代码。
  二、WordPress被黑的主要原因
  一个很重要的原因就是用的是过时的东西,例如WordPress核心程序,插件,主题。这就是为什么现在有那么多的相关服务来把升级变得更简单。其中WP remote和Infitnite WP是两个免费又好用的服务。
  还有一些其他常见的原因:
  1、下载了没有来源的主题,通常这些主题都是有后门的。
  2、从一个感染了病毒的电脑进入WordPress网站。
  3、管理员帐号的密码过于简单。
  三、在哪里获得最新的漏洞信息?
  在WordPress 3.X,已知的漏洞已经有30个,如果WordPress还是更旧的版本,漏洞就会更多。这里有一个Secunia提供的所有已知 WordPress 漏洞的列表,或者可以直接去关注一下WordPress的开发进展,订阅开发团队的博客WordPress development blog。为了更加安全可以:
  1、定时备份,这样就能确保在任何时候都可以重新网页设计
  2、确保WordPress核心系统是最新的。
  3、确保插件和主题是最新的。
  4、不要使用未知来源的主题,通常都是有后门的,特别是那些放到免费网盘里面的破解主题。
  5、用一个没有其他站点使用过的高强度密码。
  6、确保用来登录WordPress站点的电脑是没有病毒的。
  7、监控服务器和用户数据,调查可疑的行为。
  8、使用空白的index.html文件来禁止其他用户访问主题和插件目录。
  9、在meta描述里面把WordPress版本号去掉。
  10、通过htaccess文件来保护WordPress的wp-admin文件夹。
  还有一些很好用的插件,个人推荐以下几个:
  Wordfence 提供免费的防火墙,病毒扫描,和流量监控。
  Bulletproof 针对 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防护。
  Better WordPress security 提供傻瓜式的操作。
  Lockerpress 自定义登录 URL,更换管理员,还有一些自定义过滤的选项。

原创声明:本站文章未经许可请勿擅自转载,如需转载请注明出处<郑州网络公司>

案例展示