前言
WordPress是全球最受欢迎的建站系统,但它的流行也使其成为黑客的主要攻击目标。作为一名曾经因为安全意识不足而付出代价的站长,我要特别提醒你:我的博客就曾因配置不当被黑过一次,导致丢失了整整6篇文章和所有图像资源的丢失和SEO排名暴跌,这次经历让我深刻认识到网站安全的重要性。
事后分析原因:
- 使用了过期的插件(存在已知漏洞)
- 数据库使用默认的
wp_前缀 - 没有使用任何WAF
- 整整3个月没有备份
1. 保持WordPress核心、主题和插件更新
黑客经常利用过时的软件漏洞进行攻击。确保你的WordPress核心、主题和插件始终是最新版本:
- 进入 仪表盘 > 更新,检查并安装可用更新。
- 删除不再使用的插件和主题(即使未激活,它们也可能存在风险)
- 启用自动更新(谨慎选择,避免关键功能意外失效)
2. 使用强密码 + 启用双因素认证(2FA)
弱密码是网站被黑的最常见原因之一:
- 使用至少 12位 的复杂密码(混合大小写字母、数字和符号)。
- 避免使用
admin、password123等常见密码。 - 安装 Google Authenticator 或 Wordfence Login Security 启用2FA
3. 限制登录尝试,防止暴力破解
黑客使用自动化工具尝试数千次密码组合攻击你的登录页面:
- 使用 Limit Login Attempts Reloaded 或 Wordfence 限制失败登录次数(如5次失败后锁定IP)。
- 更改默认登录地址
/wp-admin/为自定义路径(如/my-secret-login/)。 - 额外防护:完全禁用
XML-RPC(可减少DDoS和暴力破解风险)
4. 安装Web应用防火墙(WAF)
WAF(Web Application Firewall)可以拦截恶意流量,阻止SQL注入、XSS等攻击:
- Cloudflare(免费版提供基础防护)
- 雷池WAF(免费、付费可选,免费版提供基础防护)
- Wordfence防火墙(免费版已包含基本WAF功能)
5. 定期备份网站
即使防护再好,网站仍可能被攻击。定期备份可确保快速恢复:
- 使用 UpdraftPlus自动备份到云端(如OneDrive)
- 互联网档案馆手动备份
- 确保备份包括数据库+网站文件。
- 测试恢复流程,避免紧急情况时无法使用。
6. 禁用文件编辑,保护wp-config.php
WordPress后台允许直接编辑主题和插件文件,这可能被黑客滥用:
- 在
wp-config.php中添加:
define('DISALLOW_FILE_EDIT', true);- 设置
wp-config.php文件权限为 440(仅管理员可读写)
7. 使用HTTPS(SSL证书)
HTTP网站容易被中间人攻击,泄露用户数据:
- 免费SSL证书:Let’s Encrypt
- 付费SSL证书:如DigiCert
- 进入 设置 > 常规,确保网站地址为
https:// - 使用 Really Simple SSL 插件自动修复混合内容问题。
8. 扫描恶意软件,监控文件更改
黑客可能植入后门程序,即使表面看起来正常:
- 使用 Wordfence Security 或 MalCare 扫描恶意代码。
- 检查
/wp-content/uploads/等目录是否有可疑PHP文件。 - 监控核心文件变化(如 iThemes Security 提供文件完整性检查)。
9. 修改数据库前缀
默认数据库表前缀 wp_ 容易被SQL注入攻击:
- 备份数据库。
- 在
wp-config.php中修改:
$table_prefix = 'newprefix_';- 使用插件(如 Change Table Prefix)批量更新表名。
10. 选择安全的主机
- 如无其他需求可选择 WordPress专用主机(如Kinsta、WP Engine)
- 确保你的服务器支持 PHP 8.0+、MySQL 5.7+
- 选用知名服务器厂商(如阿里云、腾讯云、微软Azure、亚马逊AWS),避免“跑路云”。
发表回复