对于博客或者网站来说,安全是个大问题。现在采用最多的建站程序无疑就是WordPress了,由于它巨大的用户量和开源特性,也很吸引了黑客的关注,Wordpress网站几乎每天都会遇到大量的攻击。有些是针对性的,也有些是无目的性的,黑客就是利用黑客工具软件漫游扫描,很多网站基础性的防护都没做好,所以比较容易成为入侵者的“肉鸡”,被偷取信息或者发送垃圾软件和干其他坏事。

我这个博客5base.com也是如此,有针对性和无针对性的攻击每天起码上百次。因为我的网站上设置了一些VIP浏览限制,引来更多针对性的攻击,最常用的就是暴力破解,猜测各种用户名和密码,一般人都是采用默认的用户名 admin,这个也是最喜欢被暴力尝试的。其实这个用户名是可以任意更改的,另外Wordpress的登录后台,也可以修改默认的wp-admin这个路径。这种其实是最低级的攻击,很容易就判别和封锁。

还有一种常见的就是Mysql数据库注入攻击,这种sql注入成因主要是对页面参数没有进行非法字符校验导致,入侵者利用非法参数导致数据库错误或者泄露,从而提取敏感资料和权限。WordPress毕竟用的人这么多,维护做的还是不多的,只要经常保持更新,基本可以防止入侵者利用这些漏洞,但是,也有一些时间差的问题,有些更新不及时的网站可能会面临风险。

其他的工具方式还有很多:

  • XSS: Cross Site Scripting (XSS跨站脚本攻击)
  • Malicious File Upload(上传木马软件)
  • Directory Traversal (跨目录浏览)
  • XXE: External Entity Expansion
  • 等等

还有一个最阴险的招数就是:社会工程学入侵。就是套取站长本人甚至亲友同事的个人资料,取得电子邮件,手机,然后采用欺骗的手段,发送邮件,文件,短信等,诱导点击含有木马和病毒的链接和文件,从而作为一个跳板入侵控制别人的电脑,手机等等,我就收到过这些钓鱼邮件和短信,不过这些伎俩我早就看透了。

今天给大家介绍一个WordPress安全插件 - Wordfence,(我网站的VIP会员可以下载收费版,价值99美元)它是目前使用最广的评价最好的安全插件,从WordPress官方下载的免费用户就有三百多万,而且好评率接近五星。

Wordfence官方统计的每个月阻止的攻击数量:

Wordfence的主要功能:

  • 文件防篡改:可检测核心文件、主题文件、插件文件是否被篡改、挂马、插后门。
  • 后门检测:可检测网站文件中是否包含已知的恶意脚本。
  • 防火墙:可通过防火牆规则自动屏蔽正在从事危险行为的访客。具备一定的防DDOS能力。
  • 防爆破:可防止黑客对后台密码进行暴力破解
  • 防入侵:可检测当前站点是否含有已知漏洞。 (收费功能)
  • 访客统计:可列出当前访客的IP及地理位置(支持中国,可精确到市)
  • 可查看访客的来路及当前访问页面,若有可疑,可直接屏蔽之。
  • 评论安全:可检测评论中是否包含钓鱼网站等危险URL
  • 隐藏wordpress版本号:当指定版本出现漏洞时,此功能可防止黑客批量搜索到你并进行入侵。
  • 密码安全:可检测用户的密码强度。
  • 等等其他

这个插件安装比较简单,和其他插件一样,后台上传激活就可以了(如果是免费版,可以直接在插件中心搜索找到Wordfence后直接点击安装)。安全方面的功能很强大,但是设置并不复杂。大部分保持默认设置,根据自己的需求,自定义一些防火墙功能和策略即可。

安装好之后,首先要做的第一件事是优化防火墙设置,因为服务器配置不同,Wordfence需要根据服务器的配置来让防火墙真正起作用,一般根据提示选择推荐的操作就可以了。我用的VPS,NGINX 环境,所以推荐的设置如下:(需要注意的是.user.ini的用户权限,确认可以更改,设置之后,可以把权限设置为原来的状态)

下面Wordfence的后台,是防护情况的一个总览,告诉你目前的防护状态和存在的问题,可以点击相应的链接进入具体设置:

 

设置防火墙总览:

 

防火墙基础规则,可以保持默认,可以用 阻止绝大多数的常规攻击:

设置暴力破解的策略,例如登录几次错误就锁定IP, 锁定的时间,还可以阻止一些搜索蜘蛛,或者一些不正常的流量,例如一个流量行为产生太多的404页面就是不正常的,可以有人在猜测你的敏感页面,那么你可以设置一段时间内超过多少404页面就阻止他继续,或者加入黑名单也行。

Wordfence另外一个重要的功能就是木马和可疑文件检测功能,只需要点击Scan键,就可以发现你的网站是否存在可疑的文件或者其他问题,包括spam检测,服务器状态,木马文件,密码强度等等。

还有一个工具集合,例如查看即时流量,whois查询,系统,数据库等各种诊。

 

总之,如果你想知道你WordPress网站的安全状态和希望网站安全性,Wordfence是值得安装的。当然有利必有弊,多装任何一个插件,都可能会减缓WordPress的性能,Wordfence也不例外,这个要看自己的主机配置,影响并不大,当然你有钱,主机配置好点,可以让你的网站更强大。

对于一个安全插件,首先自己要安全,所以我提供了这个插件的检测情况,是干净的版本。我提供的文件,一般都是自己检测过和自己使用的,绝不存在主观恶意的行为,有很多的在线检测网站,以后大家下载的相关文件都可以确认一下。

 

 

 

 

加入VIP会员 浏览全文或下载

登录即可查看隐藏内容

 

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。