现在建网站用的最多的就是WordPress了,为了实现一些必要的功能,免不了安装一些模板和插件。但是如果随意安装来历不明的插件,很可能隐藏着一些木马或者后门,导致网站数据泄露或者遭到破坏,这种事还是尽量不要发生的好。下面就分享一下我自己的几个防范的方法和用到的工具:
一、原则
- 能不装的插件就不要装,WordPress本身就是动态网站,插件装的越多,影响性能,插件本身也可能包含后门,一些知名的插件作者可能受到监督多,不敢轻易造次,一些小众的就难说了,这次没有,说不定下次就有,频繁的升级,谁能保证它不作恶呢?
- 一些破解模板和插件,除非你了解它的来源,检查确认没有恶意代码,不要轻易安装。很多人是没有底线的,借着分享的名义,做着害人的勾当,不管是什么渠道得到的插件或模板,安装之前自己再检查一次更安全。
二、在线查杀网站
VirusTotal 是 全球最大的免费在线查毒网站,现隶属于 Google 的母公司 Alphabet。有谷歌背书,大家尽可以放心使用。这是一个免费的病毒,蠕虫,木马和各种恶意软件分析服务。它与传统杀毒软件的不同之处是它通过多种防毒引擎扫描文件。使用多种反病毒引擎可以令使用者通过各防毒引擎的侦测结果,判断上传的档案是否为恶意软件。
三、几个可以提高Wordpress网站安全和检查代码的插件
1、AntiVirus
这个插件,可以帮助你扫描当前使用主题可能存在恶意代码,扫描后将结果给出供管理员手动判断确认病毒。
一款扫描当前使用主题可能存在恶意代码的WordPress插件,主要扫描主题模板中存在的不知名代码和加密代码。扫描后将结果给出供管理员手动判断确认病毒。
这个插件可以到Wordpress后台搜索:AntiVirus,自行安装和启用。启用后可以在设置那里看到AntiVirus这个选项,点击进入就可以scan theme templates now(扫描这个模板)或者在模板上面点击scan,如果没有发现风险就是绿色,发现了可疑的文件或代码就以红色标示,供你定夺。
2、Wordfence Security PREMIUM
Wordfence Security是一个知名的Wordpress防护插件,它提供了免费版(可以在Wordpress后台-插件,直接搜索安装),有上百万用户,Premium版是收费的(本站有破解版)它可以提供全面的包含,包括建立防火墙和规则,防止恶意的暴力登录破解,可以指定各种锁定策略,还可以自定义各种扫描规范,查找可以含有木马的文件以及可能存在的漏洞。
3、Security by CleanTalk
这个插件和Wordfence Security比较类似,提供包括备份,扫描,防火墙等各方面的防护功能。他的木马检测功能比较强,我有一次测试,它标示出了一个Wordfence Security都没有发现的一个可疑语句。
4、All In One WP Security
All In One WP Securit也是一款全方位的安全插件,它安全措施涵盖了网站安全的各个方面,除了保护用户账号的安全、注册登录的安全、数据库的安全、文件系统安全,还包括了 WHOIS 查询、黑名单管理、防火墙防护、暴力破解防护、垃圾评论防护、安全扫描器等功能。而我们常见的修改默认登录用户名,修改数据库前缀、限制登录尝试、修改登录地址统统都可以在插件里面一键完成,避免了直接修改 wordpress 内核文件和数据库带来的麻烦和风险。
以上每个插件的具体设置功能和设置都是相当多的,可能初次接触的时候,会让人不知道如何下手,但是无非是几个大的选项。花点时间研究一下就可以明白了。
WordPress安全插件的功能大同小异,我列出来并不是说,每个都需要安装的意思。大家可以根据自己的需要和喜好,选择一两个安装就可以了。然后逐项的按照你自己的要求去设置,可以宽松一些,也可以严格一些。
对于一些拿不准的模板或者插件,可以在临时使用不用的VPS或者使用XAMPP本地电脑搭建一个wordpress网站,安装多个插件进行全面的检测。
当然,我们要理性看待这些查毒结果,报毒不一定代表真正有危险,不报也不代表一定安全。事实上,没有任何一款软件可以提供 100% 的病毒及恶意软件检测率,检测总比不检测更好!