過去我經手過的WordPress項目出安全問題最多見的兩個原因:

  1. 網站沒有安裝安全防護插件,或者安裝了但因為某種原因沒有激活
  2. 高權限(Subscriber以上)的賬號用了弱密碼或複用相同密碼在別的網站被洩露

絕大多數WordPress網站都不是高價值攻擊目標,只要能做好上面兩項防護,是不需要擔心被黑的。

一線的安全插件有3個:WordFenceSucuriiThemes Security Pro,暫時沒有太多預算的朋友可以從免費版的WordFence開始。

WordFence安裝激活後會自動提示設置防火牆,它能自動檢測web服務器(nginx或apache)並自動配置,普通站長也能方便地激活應用防火牆(WAF),能處理絕大多數自動攻擊手段如wp- admin暴力破解,各種SQL Injection,PHP Injection,XSS攻擊… 初開防火牆可能處於Learning Mode(學習模式),不必擔心,WF會自行設定日期開啟防護,學習模式下,插件仍會從官方同步大量防護規則,防火牆的99%實際上已經開啟了。

你需要開啟的另一個WF功能是定期掃描(Scan),你可以在All Options => Scan Scheduling中找到配置選項,免費版只提供讓WF自行安排掃描時間的選項,付費版可以讓站長指定掃描時間。對於有過被黑歷史(後恢復)的網站,我建議你把Scan Type設置為High Sensitivity,有一些WordPress惡意代碼很狡猾,可能重複感染,且可能很隱蔽,我曾經幫客戶處理過一個廣告木馬,感染方式是冒充知名的matomo統計的js遷入代碼,客戶不知情(正好也在用Matomo),木馬在網站運行了好幾個月Google抱危險網站才最終被發現。

另外,確保在Email Alert Preferences裡打開這些郵件報警(通知)選項:

  • Email me if Wordfence is deactivated (當WF被關閉時郵件報警)
  • Email me if the Wordfence Web Application Firewall is turned off (當WF防火牆被關閉時郵件報警)

如果你能把WordFence用對,網站95%的安全問題已經解決了,另外4%的安全,經常是因為認為的懶惰,比如分配到Author,Editor,甚至Administrator權限的賬號用了好記憶但非常弱的密碼,或者缺乏安全意識的用戶乾脆用了自己最常用的密碼,而這密碼早就在因為其它平台的安全缺陷洩露了。

要強制WordPress核心賬戶流程(註冊、登錄、忘記密碼)使用強密碼並不難,WordFence提供的設置有:

  • Enforce strong passwords (強制強密碼)
  • Check password strength on profile update (用戶修改資料時強制強密碼)

但WF未必能干預非WordPress核心賬戶流程,如各種能替換掉默認註冊登錄表單的表單插件,各種第三方賬戶流程插件,它們不是都有那麼強的安全意識,如果你用了這樣的插件,需要關注文檔里關於安全的說明章節,或者聯繫作者插件將如何保護用戶賬號。

重複密碼的問題,WF也有防護選項:

  • Alert when someone is blocked from logging in for using a password found in a breach (當網站用戶用被洩露的密碼登錄網站時報警)

但它可能不是一個技術問題,而是一個流程問題,要在流程上杜絕密碼復用,擁有寫權限的賬戶必須由管理員分配(分配不可能重複的強密碼),而非由用戶自己註冊,通過技術手段關閉這類賬戶手動修改密碼的能力:

add_filter( 'allow_password_reset', 'wss_disable_password_reset' ); funciton wss_disable_password_reset() { if(current_user_can('edit_posts') || current_user_can('manage_options')) { return false; } return true; }

要為一個WordPress站點做安全加固當然有更多事可做,但恐怕絕大多數WordPress站長並沒有這個時間和技術能力去做更加深入的配置,我有信心如果讀者能解決好本文種描述的兩類問題,就能確保你的WordPress網站安全,再重複一遍:

  1. 使用安全插件,可以從WordFence開始
  2. 強制強密碼,從流程上杜絕密碼復用

更多鏈接:

發現錯別字麻煩選中按Ctrl+Enter

類似帖子

1 Comment
內聯反饋
查看所有評論
6 月 前

專業啊