陆霈恒近期,我们发现WordPress博客的访问日志中,非法请求大量增加。这些请求主要包括访问wp-login.php文件以进行暴力登录,POST访问xmlrpc.php文件,SQL注入,扫描根目录下的备份文件,以及扫描插件和主题等其他漏洞。这些行为可能是使用类似WordPress漏洞扫描工具WPScan进行的。
面对这种情况,我们需要在WordPress博客上进行一些安全防护。以下是一些重要的安全防护措施:
-
选择靠谱的博客主机:如果你不是一个经常折腾博客代码的人,或者你的技术有限,那么建议选择一个高质量的虚拟主机而不是VPS。避免使用“免费”主机,因为它们可能没有足够的安全防护。
-
保持WordPress主程序、主题和插件的最新版本:尤其是那些涉及评论、数据库备份和一些安装量大的插件,如Akismet Anti-Spam等。尽量避免使用破解版的收费主题和插件,因为它们可能存在安全问题。
-
禁用xmlrpc远程发布功能:如果你不使用这个功能,可以直接删除或重命名博客根目录下的xmlrpc.php文件。同时,也可以关闭后台的pingback和trackback功能。这些功能可能被黑客利用来发起攻击。
-
不在博客根目录下保留任何主程序、数据库、配置文件(如wp-config.php等)的备份:很多博主在更换主机时,会将全站打包为压缩文件上传到新的主机根目录下解压,但转移成功后忘记删除,结果直接被黑客轻易拿到全站数据。
-
修改WordPress默认的wp-login.php登录页:可以安装WPS Hide Login插件来轻松安全地将登录页的URL更改为任何你想要的形式。
-
限制特定IP和UA访问:可以使用.htaccess文件屏蔽恶意IP和爬虫。
-
使用CLOUDFLARE防火墙规则:这可以减少恶意流量和攻击,但对国内站点的访问可能不太友好。
除了以上措施,还有一些常见的安全措施值得注意:
- 为博客添加SSL证书,开启HTTPS访问。
- 避免使用默认的wp_表前缀。
- 不要使用默认的用户名admin;给登录页加上二次密码或验证码;限制登陆尝试次数;设置复杂的登陆密码。
- 注意站点根目录下的各种访问权限。
- 做好备份方案,有很多定时备份主程序和数据库的插件可用。
- 注意主机里其他程序的访问安全,如FTP、SSH、MySQL等。
总的来说,WordPress插件市场上有许多安全相关的插件可以帮助你提升博客的安全性。只需下载并一键启用,就可以享受它们提供的保护。
