WordPress安全防范是非常重要,如果WordPress安全上除了问题,那么网站排名将受到影响。这里介绍下简单的WordPress安全防范方法。
1、利用插件
WordPress Antivirus可以扫描模板中的异常、病毒木马等,非常好。但是也有不足:1、对于部分链接买卖的代码、阿里妈妈推广代码、部分跳转代码会报警搞,所以不要随意的删除文件,需要斟酌。2、WordPress Antivirus仅限于扫描模板,所以对于附件目录、源码程序,都是无法扫描的。
2、附件检查
这是在我的阿里云云盾使用体验中发现的。发现uploads下的一些目录有php文件,阿里云云盾提示有后门,我检查之后发现的却。后来想到,是不是还有一些也有呢,于是我查了服务器上的其他WordPress的uploads目录,真的发现了,果断删除。
如果你的主机或者服务器有SSH支持,可以使用“find /var/www/example.com/wp-content/uploads -name *.php”来查找。
3、源码检查
在附件检查后,需要检查源码,很多朋友会忽略,包括我自己。今天早上在看到wp-admin目录有多出文件,打开一看并不是WP的文件,中招了。
一般的处理方法是下载最新的WordPress程序将原来网站程序覆盖,其实这样是不够的,因为如果有多处的文件,显然是不能覆盖的。正确的处理方法:
删除wp-admin、wp-includes,然后再WordPress源码覆盖网站程序。
4、查看POST-META-KEY
很多插件,比如post-view等,都会自动为每一篇文章增加一个post-meta-key,具体表现是在文章编辑器下面的“自定义栏目”,如下图:
WordPress自定义栏目
当你在上图下拉菜单中,发现有与插件或者手动添加到无关的名称,那么就可能出问题了。例如:发现菜单中多出了一个"runphp"的名称,这明显是用于执行PHP木马的一个名称,果断通过 DELETE FROM wp_postmeta WHERE meta_key = 'runphp'; 命令删除了。
5、增加wp-admin后台登陆验证
直接让访问你们的域名 *.com/wp-admin时,弹出验证,验证通过才能进入后台登陆界面,这样为网站后台增加了一道防线。
分类:新闻资讯
标签:WordPress安全, 使用技巧