wordpress本身的安全性是非常的高的,一般不會被輕易的破解,被掛馬,但是我們也不能夠過度迷信wordpress的安全性,凡是連接上互聯網的服務器和電腦,都存在被破解的風險性。
所以我們在日常維護自己的網站時,一定要注重網站的安全性,最大限度的防止網站被掛上木馬。
一般來說,破解網站的途徑是獲取網站后台的管理員權限,從而進行修改網站文件,放置木馬,這種方式是最為常見的也是最容易防御的。
防御這種破解的方式請確保做好以下的工作:
• 1. 管理員賬號盡量不要使用admin這種簡單的用戶名,密碼使用英文大寫+小寫+數字+特殊符號的方式,最大限度復雜化
• 2.確保你的wordpress升級到最新的版本,在使用的主題中,確保加載的js、css等文件不包含wordpress的版本號。
• 3.隱藏wordpress后台的登錄地址,不要再前端頁面出現后台頁面地址。(小殘沒有做到這一點主要是為了方便大家登錄)
• 4.使用robot工具,屏蔽后台的地址,如wp-admin、wp-includes文件夾等,防止黑客使用蜘蛛查詢后台文件。
• 5.可以在服務器、虛擬主機控制面板,設置執行權限選項中,直接將有上傳權限的目錄
• 6.安裝安全插件,讓密碼或者賬戶連續輸入3次錯誤,必須在一定時間之后才能再次登錄。
安全插件有常見的limit login attempts、WordPress File Monitor Plus等。
已經被掛上木馬了怎么辦
如果你的wordpress網站已經被掛上了木馬,那么我們就要找到木馬的位置,並且清除掉。
一般來說,目前所遇到的插件木馬是使用js代碼放置到前端,產生惡意鏈接、惡意跳轉等方式劫持你的網站,而這些代碼往往是放置在前端 的,或者使�php代碼將js輸出到前端。
我們要清除這些惡意代碼有幾種方式可以解決:
1.從官方下載最新版本的wordpress,直接覆蓋。
覆蓋時,wp-includes文件夾、wp-admin以及根目錄的文件和文件夾可以直接覆蓋掉。
重新鏈接一次數據庫,這樣數據不會丟失,並且會消除掉這些文件夾可能攜帶的木馬。
如件覆蓋之后,還是沒有消除掉木馬,可以逐個停用插件,逐個停用主題,排查木馬所在位置。找到木馬,並將其清除掉。
2.手動查詢木馬
使用ftp工具查看自己的文件,可以看到最新修改的日期,如果最近沒有自己修改過日期的話,一些明顯日期修改比較靠近當前時間的文件就有非常大的嫌疑遭到修改掛上了木馬。下載並打開文件,刪除木馬重新上傳 或者直接使用官方下載的文件覆蓋即可。
3.使用然間查殺木馬
這一類的查殺木馬軟件在很多服務器和虛擬主機上都會存在,如果沒有可以自己安裝一些這種軟件,利用軟件查殺木馬。
如何檢測自己的網站是否被掛馬
使用McAfee SiteAdvisor安全瀏覽網頁的插件。例:檢測WEB主題公園是否被掛馬
你可以打開這個網頁,然后在右上方的輸入框中輸入你的網址,查詢自己的網站是否被掛馬。
防止wordpress網站被掛馬的一些建議
了解了以上的一些內容,相信你對網站安全已經有了一些認識。以下建議可以防止你被掛馬的幾率。
• 1.主題、插件已經要在官方發布的網站上下載,切勿在來歷不明的轉載網站上下載。
• 2.及時關注官方動態,更新主題、插件,保持你的主題和插件是最新的版本。
• 3.及時更新wordpress。確保你的wordpress是最新版本。
• 4.定期備份數據庫和網站資料,出現問題可以及時恢復。
• 5.不要隨意將來歷不明的代碼貼進你的網站,特別是你不怎么懂代碼的情況下。
• 6.安裝一些安全插件保護你的網站,前提是,這些插件一定要去官方下載。
• 7.實時關注你的網站,如果你對你的網站不聞不問,那么掛馬了自己也不知道。
網絡安全一定要非常的注意,並且一定要得到廣大站長的重視,做好網站防御,讓黑客沒有可乘之機,遠離木馬所帶來的風險、