Mingyu 见过太多WordPress 网站被黑客攻击的例子。明宇也经常接单服务来解决WordPress的疑难问题,所以他绝对是这方面的专业人士。每一位WordPress博客的资深站长都经历过被黑的经历,也都一步步走过来。在当今的互联网中,WordPress 被黑客攻击或篡改是比CC 或DDoS 攻击更常见的现象。综上所述,主要原因是不安全的使用习惯和缺乏网站安全意识。
今天,Mingue 解释了如何保护WordPress 免受黑客攻击。 Mingue过去也推荐过相关插件,但根据我们使用这些插件的经验,我们从未推荐过WordPress使用安全插件。所有的-ins都非常糟糕,有些会严重降低WordPress的整体性能,甚至导致整个服务器瘫痪。毕竟很多安全插件都涉及到操作WordPress核心文件,理论上这本身就存在安全风险,这也是我只推荐WP Super的主要原因之一。来自以前的WordPress 缓存插件的缓存。所以,今天我要告诉你的是一些你每天都可以轻松做到的事情,只要把它当作一种习惯,就可以了,不需要做任何太技术性的事情!
事实上,保护WordPress 的安全只有一个核心,那就是权限。几乎所有的WordPress hack都存在权限问题,比如数据库权限、WordPress核心文件权限、WordPress核心目录权限。所谓的权限实际上是Linux系统中一个如此中心的概念,以至于不可能使用权限逻辑。我还需要哪些第三方安全插件、安全应用程序等? Linux 本身在安全性方面已经是一流的了。 WordPress 被黑客攻击的唯一原因是它没有很好地利用Linux。以WordPress配置文件wp-config.php为例,使用过WordPress的人都知道,这个文件对于WordPress来说非常重要。该文件至少存储您的WordPress 网站的数据库地址、帐号和密码。还是很明显的,所以为了保证WordPress 的安全,第一步是将wp-config.php 的权限设置为600(目的是使其只能由文件所有者(通常是Web 服务器用户)读取。并写入到该文件(其他用户和组无法访问该文件)。
在命令行上设置wp-config.php 文件的权限。
chmod 600 wp-config.php
宝塔面板操作:
不要在Linux 上将文件或目录权限设置为777。 777表示所有用户对该文件或目录具有完全控制权限(即读、写、执行权限)。这意味着:
文件所有者可以对文件或目录执行任何操作。您所属的组可以对文件或目录执行任何操作。其他用户可以对该文件或目录执行任何操作。
尽管在某些情况下可能需要777 权限(例如临时授予对文件的完全访问权限),但777 权限会带来重大安全风险,通常不建议使用。 向所有用户授予完全控制权可以使恶意用户更容易窃取或销毁文件。正确的解决方案是:
对文件所有者需要完全控制的文件或目录使用644 权限。 这意味着所有者具有读写权限,而组和其他用户仅具有读取权限。对您所属组需要完全控制的文件或目录使用755 权限。 这意味着所有者和组拥有读、写和执行权限,其他用户只有读权限。对于不需要其他用户权限的文件或目录使用400 权限。 这意味着只有所有者具有读取权限。
在宝塔面板中,WordPress根目录的默认读写权限都是755,因此这又带来了一个安全风险。这是隐藏的内部威胁。换句话说,它是嵌入了后门或特洛伊木马的恶意PHP 代码。代码中隐藏的是可以直接修改WordPress核心目录wp-admin和wp-include的代码。这是许多WordPress 黑客最常用的方法。其实解决办法很简单。上传或启用来源不明的插件和主题,尤其是所谓的免费破解版。不保证来自官方WordPress 插件库的插件和主题不含恶意代码。这就是为什么Mingue一直强调WordPress需要谨慎使用插件和主题。
我们建议您不要期望找到此类恶意代码。这需要很强的代码阅读和理解能力以及这种能力和努力。创建您自己的插件。
所以,明月这里的习惯就是时不时的检查一下WordPress核心目录文件是否被篡改或者有多余的文件。遗憾的是,宝塔面板没有免费的方法,付费的明月也用不上。无论如何,Mingue 说要直接从命令行解决问题,您可以使用Pagoda 面板中的终端运行以下命令:
diff -r /路径/wordpress /路径/www.imydl.com |
运行上述命令,首先下载最新版本的WordPress压缩包,解压到指定目录/path/wordpress,并使用diff命令将其与您站点目录/路径下的WordPress核心文件目录进行比较。做吧。路径/www.imydl.com 已更改。 最后的diffstat 命令显示基于diff 比较结果的统计信息。 diffstat 读取diff 的输出并统计每个文件中的差异,例如插入、删除和更改。 Linux 默认情况下不安装diffstat 命令。您可以在终端中手动安装它。
下载并解压最新的WordPress压缩包。
wget https://wordpress.org/latest.zip
解压:
解压缩最新的.zip。
请注意,出于安全考虑,这个最新的WordPress压缩包必须放在Web端无法请求的目录中,并且必须记录绝对地址。
CentOS:
yum 安装-y diffstat
Debian 或Ubuntu:
apt install -y diffstat
如果运行结果中发现修改过的文件,会显示具体信息,如下图所示。
从上图中可以看到,只有admin-zh_CN.po和zh_CN.po这两个不相关的语言包发生了变化,说明网站使用的WordPress是完整且安全的。
还可以再添加一个-d参数来比较,看看是否有多余的文件和目录。
diff -rd /路径/wordpress /路径/www.imydl.com |
如果发现,则意味着您的WordPress 已被污染。此时,您需要仔细记住是否安装了任何插件或主题,找到它们,禁用它们,并对它们进行故障排除。不过,根据Mingue的经验,最好直接将其删除,然后彻底更新WordPress,这样可以大大减少问题的发生。不幸的是,如果您的Linux 配置已被篡改,您唯一的选择就是备份数据并重置系统。
在这里,Mingue分享了一个快速删除WordPress核心目录文件并自动下载最新WordPress解压文件的脚本。
#!/bin/bash
# 定义WordPress安装路径
WP_PATH=\’$PWD\’
# 进入WordPress安装目录
cd \’$WP_PATH\’
# 下载最新版本的WordPress
wget https://wordpress.org/latest.zip
# 解压文件
解压缩最新的.zip。
# 删除旧的wp-admin 和wp-includes 目录
rm -rf wp 管理员
rm -rf wp-包括
# 进入wordpress目录并删除wp-content(如果需要)
光盘WordPress
rm -rf wp 内容
# 将新文件复制到上面目录,覆盖旧文件
MV -f *.
# 删除wordpress目录
rm -rf WordPress 的
#赋予文件正确的所有权和权限
chown -R www:www \’$WP_PATH\’
# 提示完成信息
echo \’WordPress升级完成。请检查您的网站是否正常运行。 \’
将以上代码保存为updatewp.sh文件,并将权限更改为可执行。
chmod +x updatewp.sh
将updatewp.sh 文件复制到网站的根目录并运行:
./updatewp.sh
显示“WordPress升级已完成,请检查您的网站是否正常运行。”这意味着您网站的WordPress 核心目录和文件已被最新版本的WordPress 替换。执行后不要忘记删除updatewp.sh。请不要担心。网站原有内容不受影响。这只会自动替换核心WordPress 文件和目录并且有效。我经常使用这种方法为我的维护和托管客户进行WordPress 升级和更新。它比后台WordPress 更新更高效、更安全,并且不会导致各种奇怪的更新错误。
如果你采用了上面提到的操作习惯,WordPress基本上就很难被黑客攻击了。通过定期比对WordPress核心目录和文件的完整性,可以及时发现各种黑客风险。让您的扫描速度更快、效率更高。说到安全,没有什么小事。如果可以避免,请减少使用第三方。
当涉及到SQL注入攻击时,一般只要你做好了上述的防护措施,不存在非标准SQL语句的漏洞或者你使用的插件或主题中不存在可以被其他人扫描到的漏洞。不会受到恶意注入。这不是WordPress 被黑客攻击的问题。请尽快删除插件或更换主题。换句话说,使用人数最多、破解版本最多的主题最容易受到SQL注入攻击,并且成功率似乎非常高。如果可以的话,最好购买正版主题。花一点钱并没有什么可耻的。
#以上是关于如何保护WordPress免受黑客攻击?相关内容来源网络仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93893.html
