从一个技术小白来讲,很难看出自己网站有哪些安全隐患,可能受到哪些安全威胁,在看似平和的互联网世界,往往危机四伏,一不小心网站就会中招。
西部盒子从事WordPress网站运维已经有5年的时间了,期间遇到过很多基础性安全漏洞导致的网站被黑,数据丢失等情况。网络网站安全不容小觑。
如果你的网站也是基于WordPress构建的,那么建议花几分钟时间来了解一些Wordpress的一些基础安全优化设置技巧,如果需要更加完善的安全保障就请联系我们吧。
通常黑客们准备入侵一个网站都会对网站潜在的漏洞进行全面的扫描,一旦发现可以利用的漏洞,拿下整个站点就更加容易了。
1、经常性检查WordPress内核、插件以及主题是否有更新提示,并做更新处理。
这个是WordPress的一大优点,就是在在内核、主题或者插件有新版本可以升级时,后台会给出升级提示,4.6版本后更推出了自动升级功能。
程序的更新,不光是功能性的更新,同时也会有安全性方面的更新,由于WordPress的使用用户众多,在发生安全漏洞后,通常官方会在第一时间处理并发布修复后的版本,所以通过后台升级内核基本可以杜绝WordPress内核原因导致的攻击。
2、慎重选择主题或插件
WordPress有着庞大的开发者群体,开发者的能力素质不一,并不能确保每一个插件或主题都安全无漏洞,特别是一些恶意的开发者分享的免费插件或者主题,更需要慎重使用。
尽量选择使用人数量大和评分较高的主题,通常购买商业主题或插件请到大牌服务商处进行购买,这样会将风险降低很多。
3、卸载不需要的主题和插件
不可否认,WordPress有着非常多的主题和插件,可以让我们快速的拥有一个界面和功能都丰富多彩的网站,但是需要明白的是过多的插件,主题存留在后台,即使不启用,黑客们也可以通过相关工具获取到代码文件的存在,并进行漏洞扫描,所以我们建议将不使用的主题或插件在后台进行卸载,同时尽可能的减少不是特别必要的插件。
4、禁用后台的主题、插件编辑器
Wordpress后台给我们提供了非常方便的代码编辑器,管理员权限在后台就可以直接编辑主题和插件的程序文件,虽说方便,但也带来了安全隐患。
如果你不需要使用它,或者一直通过FTP 或其他方式修改主题文件等,可以通过如下代码,添加到wp-config.php文件内,以禁用后台代码编辑器。
1 |
define ('DISALLOW_FILE_EDIT', true); |
5、禁用PHP错误报告
默认情况下,当程序发生错误,都会往浏览器输出错误报告,报告内包含了具体错误信息: 错误类型,代码路径,代码行数等,将这些信息暴露出来非常不安全。
禁用方法如下:
将以下代码,添加到wp-config.php文件内:
1 2 |
error_reporting(0); @ini_set('display_errors',0); |
以上就是我们整理的关于WordPress网站基础安全设置的几点建议,仅供小白参考。