如何避免WordPress/Woocommerce网站被黑

阅读量:

14


WordPress本身的安全性相对来说还是值得信任的,但是依然还是有一些缺点,那么如何避免Wordpress站点被黑呢?我们来看看纯净Wordpress站点存在的一些安全隐患吧。

一、后台登陆的暴力破解隐患

默认的Wordpress站点是没有任何防止暴力破解措施的,几乎可以无限尝试密码,这增加了网站后台被暴力破解的风险。这个问题解决方案有很多种,我们可以在不安装插件的情况下,透过几种简单措施来增加被暴力破解的难度:

  1. 增加登录页面的Basic认证,避免登录页面被脚本扫描
  2. 不使用与显示名称类似的登录名,使用一个复杂的、包含多因素的登录账号
  3. 使用长度超过15位的、包含多因素的登陆密码

当然,这些措施都无法彻底解决被暴力破解的问题,只是很大程度上增加了暴力破解的难度,阻挡了很多的“脚本小子”。相对来说,这些措施如果都实施的话,对于绝大多数网站来说就已经是相对安全的了,尽管依然有风险,但是按照现在的算力来看,破解这些密码相对来说也是非常困难的。不过为了保证安全性,我们还可以应用更多的安全措施,比如通过安装一些安全类的插件,来提供以下一些措施:

  1. 增加图形验证码,进一步增加破解难度
  2. 增加邮箱、短信验证码
  3. 使用MFA
  4. 限制账号登录失败的尝试次数
  5. 通过增加常用设备、常在地区、常用设备记录,在异地、陌生设备时要求多因素认证

在应用了这些措施后,WEB本身的问题,很难说绝对安全,但是通过暴力破解来认证为管理员用户基本不可能的。

二、数据丢失隐患

网站被黑后,很多的WebShell存在锁文件、删除文件的破坏性行为,如果要实现在网站被黑后能够快速回复的目标,网站数据备份工作就是必不可少的。

本地备份依然是不安全的,毕竟当服务器被黑时,服务器内所有文件都是不能保证安全的。这个问题,我们可以透过一些云服务商的存储服务来解决备份问题,最简单的就是使用云服务商提供的磁盘快照功能。当然我们也可以通过安装一些插件来实现将数据备份到网络存储的方式来实现备份功能,比如将数据存储在Google Drive、Microsoft One Drive、AWS的s3、国内阿里云的OSS、腾讯云的COS等。

三、用户上传文件的安全

如果我们的网站时开放注册的,我们还需要考虑用户上传文件的安全问题。这方面我们只能通过安装或者自行实现插件来接入一些WebShell查杀工具来保证网站的安全性,比如可以接入百度的WEBDIR来监测上传文件的安全性。

四、内容审查

如果网站开发注册,我们还需要关注的就是用户生成内容的安全,这个问题相对来说还是很重的,尤其是部署于国内的服务,UGC审查必不可少,防止用户发布一些违反法律的内容出去导致网站甚至本人出现违法、甚至犯罪的问题。这方面我们可以选择通过插件来接入云服务商的内容安全监测服务来实现,这方面的服务相对来说也比较多,可以根据实际需要来选择接入。