现在的位置: 首页 > Bluehost使用教程 > 正文
如何避免在Bluehost的WordPress站点被黑
2014年07月10日 Bluehost使用教程 ⁄ 共 2038字 暂无评论 ⁄ 被围观 2,814 views+

每个Wordpress管理员的噩梦就是打开网站时发现自己的Wordpress站点被黑了。Wordpress网站被入侵意味了你将面对严重的损失 - 时间、金钱和信誉。当你刚发现Wordpress网站被黑,自然的第一个惊慌失措的想法就是如何赶快让网站重新恢复原状。通常这也并不困难,你可以自行从网站的备份恢复或寻求Bluehost主机技术客服帮助。重要的是一旦你的Wordpress网站重新上线后,接下来你应该认真考虑如何保护你的WordPress站点免受黑客入侵并防止这种情况再次发生。

由于黑客一旦成功入侵某些网站后会向其他黑客公开发布自己的成就,很多时候在这种情况下,当你的网站重新上线后几乎又会被其他黑客攻破。所以在你的Wordpress网站被黑客入侵之前,你需要知道如何避免在Bluehost的Wordpress站点被黑。虽然没有绝对万无一失的方法可以阻止每一个黑客,但通过一些Wordpress插件和改变编码就可以实现,这将使业余黑客更难的入侵你的Wordpress网站。

WordPress安全密钥

要让你的Wordpress网站更安全的一个重要步骤就是修改Wordpress已安装的安全密钥。通过修改这些独特密钥,它将使黑客是更难闯入你的Wordpress系统。WordPress安全密钥(WordPress Security Key)是一组随机变量为存储在用户cookie里的信息加密。 一般WordPress共有四个安全密钥:AUTH_KEY,SECURE_AUTH_KEY,LOGGED_IN_KEY和NONCE_KEY。这些安全密钥将使你的密码更难破解。比如说“username”非加密的密码可以轻易的很容易被破解。相反的一个随机的、不可预测、加密的密码,如“7436a7da62429ba6ad3cb3c76a09641fc”则需要多年才能找出正确的组合。所以你应该使用WordPress的安全密钥以增加你在Bluehost主机的WordPress博客网站的安全性。

首先你需要创建自己独特的密钥。我们建议你使用WordPress提供的一个随机生成器让你生成这些独特密钥。接着就打开在Wordpress软件根目录下的wp-config.php文件,并把之前生成的安全密钥覆盖相应的编码后保存既可。

限制wp-config.php文件权限

wp-config.php是WordPress很重要的文件,因为里面包含了资料库帐号、密码等等,所以要设置它的权限让普通用户无法存取 (chmod 644、chown root或在 .htaccess 加上 deny)。同样的,.htaccess 这个文件的安全保护也是不容忽视的,你可以将这文件的权限改为CHMOD 644。

WordPress防火墙插件

通过安装“防火墙”(Firewall)插件将可有效地阻止大量的WordPress网站攻击。其中可考虑安装WordPress Firewall 2插件,当有人试图入侵你的WordPress网站时,这个插件将通过email及时通知你。然后你可以设置禁止该IP继续访问你的网站,虽然这无法完全停止攻击,但至少可以减慢它们的攻击。

WordPress安全插件

网上也有许多其他的WordPress安全插件。比如说:

WP Security Scan插件 - 这个插件会查看你的WordPress安装文件是否有安全漏洞并会给予适当的修正建议。

Limit Login Attempts插件 - 其中黑客可以成功入侵你的网站的原因就是他们可以无止境的试图登录你的Wordpress网站。通过Limit Login Attempts插件,当试图登录Wordpress 4次以上失败后Wordpress后就会自动锁20分钟无法再登录,并会在登入页面显示 “尝试过多次失败登入 请在20分钟后再重试。" 的讯息。这个插件会记录入侵者的 IP、登入名、被锁几次的信息然后email给Wordpress管理者。

Antivirus插件 - Antivirus是一个容易使用的安全工具,这个插件将扫描你的WordPress主题模板以找出任何恶意的代碼注入攻击,恶意软件(病毒、蠕虫、木马、广告软件)和垃圾邮件。

更新Wordpress软件和插件版本

确保WordPress软件、主题模板和插件常更新升级去最新版本。 一般Wordpress软件或插件发布新版本的原因除了功能提升外,很多时候就是发现了安全漏洞所以及时修正了。每周至少一次登录到Wordpress后台查看是否有任何最新版本需要更新。

其他Wordpress安全预防措施

除了以上主要的安全措施外,以下是一些较简单的安全预防措施:

  • 删除不再使用的Wordpress主题和插件
  • 经常更换安全程度较高的密码
  • 设置Wordpress时最好不要使用默认的“admin”为登录名
  • 为Wordpress文件规定正确的文件许可权限
  • 可考虑更换数据库Table名称默认的“WP_ ”前置字元,让黑客更难入侵。
  • 定期备份Wordpress数据库

bluehost

抱歉!评论已关闭.