如何增加WordPress網站安全性!
發佈人 , lastmodifiedby Sherry Li 發表於 16 12月 2022 05:36 下午
|
|
前陣子WordPress4.9.6才出現漏洞問題,駭客可利用獲取編輯檔案的權限來控制WordPress整個安裝檔案,嚴重性可將整個WordPress抹除,若沒有適當備份網站檔案的畫,將很有可能無法還原網站,你現在還覺得網站安全性不重要嗎?雖然現在駭客手法持續進化改變,但我們可以透過以下一些方式來加強網站安全性。 ▲ 提高 WordPress 帳號登入安全性1. 更改 WordPress 登入網址將登入網址更改可避免駭客或有心人士攻擊入侵,因WordPress登入網址都是固定的「網址加上wp-login.php」,我們可以使用「WPS Hide Login」自行設定Login網址,而原本預設的登入網址會顯示「This has been disabled」,防止駭客嘗試登入網站。 2. 啟用二階段登入驗證功能當有駭客取得你的帳密時還需透過第二階段認證才能登入,WordPress並沒有提供登入時二階段驗證功能,但我們可以透過外掛「authy-for-wp」或「Google Authenticator」來安裝。 3. 把 Admin 權限設為訂閱者應該設定不同使用者名稱來管理網站,並且將預設的使用者 Admin 刪除或改為訂閱者權限。 4. 將登入頁與後台管理頁面改用”https”來進行連線上一篇有提到,讓網址強制顯示”https連線方式”,將根目錄/public_html內的.htaccess檔加上以下文字碼: RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R] 也別忘了在 WordPress 後台➙一般/設定內➙ W ordPress 位址&網站位址➙改為https的連結。 5. 預設的「私密金鑰」做更改前幾篇有教過,將wp-config.php檔案內的預設金鑰>到此網址https://api.wordpress.org/secret-key/1.1/salt/ 將新的金鑰複製起來>回到wp-config.php檔案內>貼上覆蓋原掉舊的金鑰碼。 6. 限制 IP 登入 WordPress 後台將 wp-admin 和wp-login.php都限定進入的IP <IfModule mod_rewrite.c> ▲ 保護檔案目錄1. 防止使用者直接瀏覽你的檔案目錄開啟 WordPress 根目錄底下的 .htaccess 檔案>在最上方加入這行 ”Options -Indexes”,能夠防止他人在建立清單檔案時,看到你資料夾內所有檔案。 ![]() ![]() 2. 重新命名資料表前綴wp-config.php 是 wordpress 重要的系統檔,預設前綴字都是WP_開頭,建議更改其他名字,不然容易被駭客找到檔名進而利用。可利用外掛程式「db-prefix-change」來改所有的前綴文字。 ![]() ▲ 利用外掛來監控 WordPress 網站1. WordFence Security 防火牆和惡意軟件掃描提供web應用程序防火牆並阻止惡意流量,同時擁有掃描程序可供檢查是否有惡意軟件、URL、垃圾郵件、外掛等,可檢查是否存在安全漏洞,並發出通知警告。 2.VIP Scanner可以掃描你的佈景主題、包含文件目前是否有問題,且可偵測你的佈景主題是否被置入了廣告程式碼。 VIP Scanner安裝方式>將文件夾上傳到wp-content/plugins/目錄>在WordPress外掛目錄中啟動外掛>在工具點選VIP Scanner | |
|