不管你信不信,大部分被黑的站是因为没改默认配置
去年一年我处理了十几次WordPress被黑的情况。有挂马跳转菠菜的、有偷偷加外链的、有整个站被改成钓鱼页面的。复盘之后发现一个规律:九成的入侵不是因为WordPress本身有漏洞,而是因为没做基础安全配置。这篇文章不聊理论,直接给配置清单。每一条我都在生产环境验证过。
一、先把登录入口管好
默认登录地址是wp-admin和wp-login.php,全世界的扫描器都在盯着这两个URL。第一步就改掉:装个WPS Hide Login插件,把登录地址改成只有你知道的URL,比如用management-panel这种不起眼的名字。有人觉得这是安全靠混淆,不够正规——但实测效果很好,改了之后暴力破解尝试直接降到零。不是攻击者破解不了,是他们找不到门在哪。顺便限制登录尝试次数,Limit Login Attempts Reloaded这个插件好用,设成5次错误锁30分钟。我有次忘装了,一晚上被试了三千多个密码。
二、文件权限和wp-config.php加固
这条不看插件,直接SSH上去改。所有目录设755,文件设644。wp-config.php设440或400,因为这个文件里有数据库密码,绝不能让其他用户读。另外在wp-config.php里加两行关键配置。第一行禁用后台文件编辑功能,防止有人拿到管理员权限后直接改代码。第二行强制后台走HTTPS,避免密码在传输中被截获。还有一个容易被忽略的点:wp-content目录下放一个空的index.php,防止目录浏览。很多人不知道,默认装完WordPress后,wp-content/uploads是可以直接列目录的,你上传的所有文件别人都能看到文件名。
三、插件和主题的精简原则
我碰到过一个站装了47个插件,其中12个超过两年没更新。这12个就是12个潜在入口。原则很简单:不用的插件删掉,不要只是禁用。一个禁用的插件代码还在服务器上,漏洞仍然可以被利用。定期更新所有插件和主题,WordPress后台看到更新提醒就处理,别堆着。选插件的时候看三个指标:最近更新时间在三个月内、安装量十万以上、评价数量多且评分高。三个都不行的插件再好用也别装。
四、备份和监控不能省
安全不光是防入侵,还得考虑被黑了怎么恢复。推荐UpdraftPlus做定时备份,文件加数据库一起,备份存到外部存储,Google Drive或阿里云OSS都行。千万不要跟网站放在同一台服务器上。某次一个站的硬盘坏了,备份也在同一块盘上,全没了。装上Wordfence做安全监控,文件变更、恶意流量、可疑登录都能报警。免费版够用了,它自带的防火墙规则能拦掉大部分扫描器。
以上这些配置做完,一个站大概花两小时。这两小时可能帮你省掉被黑后两三天的修复时间。安全问题别糊弄,出的都是真事。我见过因为一个没更新的插件被挂菠菜广告,老板赔了十几万的。那时候再后悔就晚了。
标签: WordPress安全 网站建设 服务器配置 安全加固
还木有评论哦,快来抢沙发吧~