无论是个人博客,还是企业网站,甚至有些B2C商务网站都会选择和使用WordPress程序进行搭建。毕竟从当前市面上的开源、免费CMS程序,更新和维护程度上,WordPress确实是目前比较优秀的建站程序,而且用户数应该是最多的。越来越多的用户使用,当然我们也会有担心出现安全问题。
毕竟作为全球最大的免费程序,这款程序也深受广大黑客的青睐希望能突破其安全防护。毕竟在程序本身而言,我们用户是无能为力的,能做的就是相信WordPress官方提供的版本具备安全,而且保持较快的升级和更新。在建站过程中,我们在使用的时候有些安全因素是需要我们自己去做的,这样是可以提高WordPress程序的安全性。
在这篇文章中,笔者整理和收集WordPress程序在使用过程中如何提高安全性,有以下10个方法,我们可以选择性的参考和使用到自己的WordPress站点中。
第一、选择安全的主机
我们在建站的时候选择安全的主机商和主机是比较重要的。因为主机商不靠谱,可能直接被黑客直接进去主机商服务器,这样即便我们的网站再安全也无济于事。无论是虚拟主机还是选择服务器,我们需要选择靠谱的商家。比如我们需要选择公司或者有一定口碑的。不能贪图便宜选择个人或者是新成立的商家。毕竟我们做网站的数据和安全是重要的,如果你的网站仅仅是玩玩无所谓安全,那就随意。
第二、网站采用HTTPS
普及和推广网站使用HTTPS加密模式有一定时间,但是还是有很多网站并没有采用。这个对于有些用户数据重要的项目和交互相互确实是需要使用HTTPS。WordPress官方也有建议用户使用HTTPS,如果WordPress程序的时候我们也需要使用SSL。
第三、安全的管理路径
WordPress采用安全的管理路径。默认的登入地址建议不要使用,我们可以修改后台的登录地址确保入口的安全,因为我们可以检测到每天都有很多第三方在扫描网站的后台入口,进而在猜测管理入口账户。我们可以先改变入口地址,以及在用户名和密码的时候设置复杂,并不要使用默认的admin管理员用户。
第四、有必要采用防火墙
根据实际的需要,我们可以在网站中加入WAF或者是CDN,这样还是对于安全防护有一定的作用的。目前,提供免费和付费的WAF和CDN加速还是比较多的,其中都具备一定的安全工具。如果我们技术能力有限或者项目没有需要高级的防火墙,那我们就可以先采用第三方提供的免费和付费服务。
第五、采用两步验证机制
"Two Factor Authentication"两步验证机制还是比较常见的。我们可以在网站入口的时候加入登录两步验证,这个可以在WP后台搜索"Two Factor Authentication"插件然后进行安装。其实在上面我们提到使用修改默认路径,以及复杂用户名和密码的方法也是可以解决问题的,除非我们项目特别重要可以用两步验证。
第六、选择安全的插件和主题
我们在选择和安装WordPress主题和插件的时候不要任意的选择安装,尤其是网上提供出来的破解或者没有经过官方验证在平台中的尽量不要乱安装。有些所谓的破解版插件都是被植入后门提供出来的。包括有些主题我们可以看到一些付费主题,然后有免费提供出来,有些是有被加入后门的。
如果我们确实喜欢某些商业主题,是完全可以付费购买,这样的安全可靠程度更好,而且还可以得到及时的升级更新。
第七、确保网站文件权限
尤其是我们在使用服务器布局网站的时候,鉴于安全需要我们用户自己操作。我们在设置目录权限的时候不要全部设置777,而需要对于目录和文件,甚至有些特殊的文件设置只读权限。如果所有的文件都设置777之后,会使得我们的重要文件被暴露出来。
第八、随时检查网站日志
我们可以通过网站日志来检查用户的访问情况,如果有异常访问的话,我们需要随时做出安全处理。比如屏蔽某个用户的IP地址,以及增加一些安全措施。同样的,网站用户随着时间推移也会增加,我们也要观察服务器和主机的容量是否充裕,如果不够的话需要升级到更高级的主机配置。
第九、插件跟踪日志
这里需要推荐一个" WP Security Audit Log"插件,相对上面我们可以直接看服务器日志比较困难,因为需要专业的运维人员才行。简单一些的,我们可以用这个插件,然后跟踪用户的行为日志。类似的插件还有其他的,我们可以选择自己喜欢的。
第十、数据备份不要忘
任何时候,只要我们在做网站都要定期的备份网站数据。即便是选择的NO1的主机商,我们也需要备份数据。因为很多时候安全问题会导致数据丢失和破坏后,即便是商家的问题,商家给予的赔付也就是增加主机服务时间,也不会对于我们数据有实际的赔偿,最终受到损失的还是我们用户自己。
总结,以上是我们在使用WordPress程序的时候需要注意的10个安全问题。WordPress虽然是一款很好的程序,但是如果我们能完全驾驭也需要一定的时间和技术积累。