為什麼會有這篇文章的誕生呢?純粹是因為前陣子本站被駭了…….
本來對安全性沒下多大心思的我在這次決定苦下功夫提升對於 WordPress 的安全性!
讓 WordPress 常保持最新版本吧!
不論怎講新的一定比舊版的來的安全許多,當新的正式版本推出時請盡快更新吧!
當然,在更新前也請記得備份資料庫及檔案,以免在升級出現錯誤時還有得教。
換掉預設的管理員帳號名稱吧!
如果您當初在安裝WordPress 時沒做多想直接用預設的 admin 當管理員帳號是一件很不安全的事,這代表登入後台條件之一的帳號已經眾所皆知了,只要有心人士持續猜密碼就有可能被破解登入到後台,如果你已經用了這個當管理員帳號,可以安裝 WP-Optimize 這套外掛來進行更名動作。
請別設定太簡單的登入密碼!
再好的防護層級如果登入密碼太簡單太鳥那也形同於紙紮一般,所以請用點心思想想難度高一些的密碼,密碼的組成最好是英數混合+至少六位數以上會比較好。
別使用預設的WordPress 資料表前綴!
你在安裝時會要你修改wp-config.php時,你會看到有一段是以下這樣的內容:
/**
* WordPress 資料表前綴。
*
* 若您為每個 WordPress 設定不同的資料表前綴,則可在同個資料庫內安裝多個 WordPress。
* 前綴只能使用半型數字、字母和底線!
*/
$table_prefix = ‘wp_’;
請別使用預設的wp_,改換自己想的前綴詞,這是為了防止 zero day 攻擊,至於已經運作中的該怎辦?
請參考此篇教學,本篇不再贅述。
再來就是用安全性外掛來提升防護層級,並且透過外掛來檢測自己的還有哪些安全性措施沒做好的。
以下是我目前使用中覺得還不錯的安全性相關外掛。
Secure WordPress
下載網址:http://wordpress.org/extend/plugins/secure-wordpress/
這個會在後台顯示可以執行哪些安全性措施,建議全選儲存,減少被駭的可能性。
而在右側欄是websitedefender的在線服務,註冊後可以去該網站看到自己的安全性層級是多少。
Semisecure Login Reimagined
下載網址:http://wordpress.org/extend/plugins/semisecure-login-reimagined/
這套外掛可以在你登入帳號或是在後台修改帳密時加密你的輸入資訊,安裝完就會自動啟用。
WP Security Scan
下載網址:http://wordpress.org/extend/plugins/wp-security-scan/
這套外掛可以檢測有哪些安全措施沒做的,像是我上面提的admin帳號、資料表前綴等等,此外他也會掃瞄CHMOD屬性,看有哪些目錄或檔案的CHMOD屬性沒設定好。
Lockdown WP Admin
下載網址:http://wordpress.org/extend/plugins/lockdown-wp-admin/
這是我最推薦的安全性功能,它可以把以登入網址及後台管理網址給修改掉,將後台網址隱藏變成404 找不到網頁,然後把登入的網址進行更名,並且也支援HTTP驗證,可以選擇允許名單是註冊會員或是自定義額外的登入帳密。
WordPress Backup to Dropbox
下載網址:http://wordpress.org/extend/plugins/wordpress-backup-to-dropbox/
如果你有在使用Dropbox這個雲端服務的話,那麼這個外掛將會是你異地備份的好選擇之一,它可以將備份的FTP及SQL檔案定期同步到你的Dropbox空間裡,你可以選擇每週或是每月等週期來進行定期備份,這樣有助於在主機商掛點連資料都損失的狀況下還能救回資料。
原來被駭了..難怪之前網站所有連結都掛掉!修復了恭喜
是啊~ 幸好資料都有得救,經過此事真的讓我對安全這環開始下功夫了 @@
感謝分享
獲益良多~
[…] 請修改此項。===>聽說用預設的wp_會被駭客攻擊,詳見這裡。 […]
goo I like