域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

WordPress 的確是一個(gè)很出色的平臺(tái)，有著豐富的第三方插件和主題，也給博客主和廣大讀者提供了很棒的體驗(yàn)。但是，如果你不重視網(wǎng)站安全的話，你的博客很快就會(huì)成為黑 客眼中甜美的蛋糕了。在本文中，我們將會(huì)討論到一下 WordPress 的安全隱患和一些應(yīng)對方法。

問題出在哪了?

對于一個(gè)像 WordPress 一樣復(fù)雜的 CMS，用戶的程序是在不同的服務(wù)器上運(yùn)行的，第三方插件，第三方主題也可能會(huì)存在一些缺陷。當(dāng)破壞者通過某些缺陷進(jìn)入了你的網(wǎng)站的話，你就有麻煩了。

如果你運(yùn)行的是一個(gè)易受攻擊的 WordPress，黑客可以進(jìn)行以下幾種破壞：

1、在你的網(wǎng)站上執(zhí)行任意代碼。

2、注入腳本，HTML代碼或者是直接編輯你的帖子。

3、導(dǎo)致無法訪問(使網(wǎng)站崩潰，CPU 和帶寬過載)。

4、注入或者執(zhí)行 SQL 命令。

5、獲取重要數(shù)據(jù)，例如你的密碼。

6、把用戶帶到另外的網(wǎng)站，可能還是釣魚網(wǎng)站。

7、跨站偽造記錄(CSRF)。

8、在你的網(wǎng)站上創(chuàng)建一個(gè)隱藏的帖子，這個(gè)帖子只對搜索引擎可見，而且是導(dǎo)向到黑客的站點(diǎn)的。

9、植入后門。這樣就算你修復(fù)了那些缺陷黑客還是可以進(jìn)入你的網(wǎng)站。

10、在你的 PHP 核心代碼和主題文件里面植入一段加密代碼。

被黑的主要原因

一個(gè)很重要的原因就是你用的是過時(shí)的東西，比如 WordPress 核心程序，插件，主題。這就是為什么現(xiàn)在有那么多的相關(guān)服務(wù)來把升級(jí)變得更簡單。其中 WP remote 和 InfitniteWP 是兩個(gè)免費(fèi)又好用的服務(wù)。

還有一些其他常見的原因：

1、在下載了沒有來源的主題，通常這些主題都是有后門的。

2、從一個(gè)感染了病毒的電腦進(jìn)入你的 WordPress 網(wǎng)站。

3、管理員帳號(hào)的密碼過于簡單。

在哪里獲得最新的漏洞信息

在 WordPress 3.X，已知的漏洞已經(jīng)有30個(gè)，如果你的 WordPress 還是更舊的版本，漏洞就會(huì)更加多。這里有一個(gè) Secunia 提供的所有已知 WordPress 漏洞的列表，或者你可以直接去關(guān)注一下 WordPress 的開發(fā)進(jìn)展，訂閱開發(fā)團(tuán)隊(duì)的博客 WordPress development blog。

給你的博客上把鎖

1、定時(shí)備份博客。這樣就能確保你在任何時(shí)候都可以重建網(wǎng)站。

2、確保你的 WordPress 核心系統(tǒng)是最新的。

3、確保插件和主題是最新的。

4、不要使用未知來源的主題，通常都是有后門的，特別是那些放到免費(fèi)網(wǎng)盤里面的破解主題。

5、用一個(gè)沒有其他站點(diǎn)使用過的高強(qiáng)度密碼。

6、確保你用來登錄 WordPress 站點(diǎn)的電腦是沒有病毒的。

7、監(jiān)控服務(wù)器和用戶數(shù)據(jù)，調(diào)查可疑的行為。

8、使用空白的 index.html 文件來禁止其他用戶訪問主題和插件目錄。

9、在你的 meta 描述里面把你的 WordPress 版本好去掉。

10、通過 htaccess 文件來保護(hù) WordPress 的 wp-admin 文件夾。

還有一些很好用的插件，我個(gè)人推薦以下幾個(gè)：

Wordfence 提供免費(fèi)的防火墻，病毒掃描，和流量監(jiān)控。

Bulletproof 針對 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防護(hù)。

Better WordPress security 提供傻瓜式的操作。

Lockerpress 自定義登錄 URL，更換管理員，還有一些自定義過濾的選項(xiàng)。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！