1. 程式人生 > >寫在 Wordpress 部落格被黑之後

寫在 Wordpress 部落格被黑之後

前段時間,部落格接連被黑了幾次,這對於我來說還是頭一次遭遇。第一次被黑的時候,後臺登陸不進去,檢視資料庫發現賬號和密碼被改了,以為是密碼洩漏了,於是重置主機內容,更換賬號密碼,用備份資料重新上線;隔了一週,發現又登陸不上了,首頁還被篡改了一部分內容,真是無語,簡單處理了下又可以訪問了;沒想到過了幾天,又被黑了,真是心累,放了好幾天都懶得處理,後果就越來越嚴重了,主機被上傳了新的目錄和檔案,接著網站連結也被用 .htaccess 改的指向別處了,看來不得不好好收拾一下了。

去 Google 上搜了一下,找到一篇不錯的文章—— WordPress 終極安全指南,參考著把裡面提到的絕大部分操作都實現了。

下面簡單說下這次處理的幾個地方:

一、自動更新

通過外掛 Companion Auto Update 讓 WordPress 核心、外掛和主題的一直保持最新。

二、自動備份

這個之前就設定了,用的是 BackWPup 外掛定期備份網站資料到 Dropbox,這次在文章中看到推薦的是 UpdraftPlus,後面可以對比試下哪個好用。

三、安全掃描

通過 WordFence 外掛來搞定,功能還挺強大的,設定了隱藏 Wordpress 版本號、禁止上傳資料夾執行程式碼,同時還限制了登陸嘗試次數,防止暴力破解。

四、保護登陸入口

安裝了 WPS Hide Login 外掛,禁止對 /wp-admin 和 /wp-login.php 的訪問,並把登入入口修改成自定義 URL。

五、修改資料庫字首

防止 SQL 注入,這次資料庫被改,懷疑這個可能性極大,之前裝 Wordpress 都喜歡用預設字首 wp_ 的,看來後面得改下習慣。

六、關閉 XML-RPC

通過 Disable XML-RPC 外掛,徹底關閉了 XML-RPC 功能。

七,啟用 Https

之前怕麻煩,一直懶得升級,這次被迫弄了下,藉助 Really Simple SSL 外掛升級到了 Https,還算比較快的,就是要驗證的細節比較多,後面把 Google Webmasters 中的相關資訊也更新了下 。

重新部署之後到現在也有兩三週了,通過 WordFence 後臺發現了一些異常的訪問,也遮蔽了一些 IP,但至少目前部落格看起來還是安全的,沒有被滲透的跡象。

上週的時候,Google 搜尋了下部落格名字,本來是想看下是否還有之前加上的垃圾連結時,發現居然有全站連結了,不清楚是不是改了 Https 之後帶來的,算是個意外之喜。

個人部落格雖小,安全也得注意,尤其對於 WordPress 這麼流行的部落格系統,安裝後一定要檢查是否做到了以下三點:自動更新、安全外掛定期掃描和自動備份,做到了這三點,基本可保網站無虞。

檢視原文:https://xuhehuan.com/2747.html

作者:艾蔓草
來源:CSDN
原文:https://blog.csdn.net/xhhjin/article/details/81329847
版權宣告:本文為博主原創文章,轉載請附上博文連結!