写在 Wordpress 博客被黑以后
前段时间,博客接连被黑了几回,这对于我来讲仍是头一次遭遇。第一次被黑的时候,后台登录不进去,查看数据库发现帐号和密码被改了,觉得是密码泄漏了,因而重置主机内容,更换帐号密码,用备份数据从新上线;隔了一周,发现又登录不上了,首页还被篡改了一部份内容,真是无语,简单处理了下又能够访问了;没想到过了几天,又被黑了,真是心累,放了好几天都懒得处理,后果就愈来愈严重了,主机被上传了新的目录和文件,接着网站连接也被用 .htaccess 改的指向别处了,看来不得很差好收拾一下了。
去 Google 上搜了一下,找到一篇不错的文章—— WordPress 终极安全指南,参考着把里面提到的绝大部分操做都实现了。php
下面简单说下此次处理的几个地方:html
1、自动更新web
经过插件 Companion Auto Update 让 WordPress 核心、插件和主题的一直保持最新。数据库
2、自动备份安全
这个以前就设置了,用的是 BackWPup 插件按期备份网站数据到 Dropbox,此次在文章中看到推荐的是 UpdraftPlus,后面能够对比试下哪一个好用。ide
3、安全扫描svg
经过 WordFence 插件来搞定,功能还挺强大的,设置了隐藏 Wordpress 版本号、禁止上传文件夹执行代码,同时还限制了登录尝试次数,防止暴力破解。网站
4、保护登录入口插件
安装了 WPS Hide Login 插件,禁止对 /wp-admin 和 /wp-login.php 的访问,并把登陆入口修改为自定义 URL。xml
5、修改数据库前缀
防止 SQL 注入,此次数据库被改,怀疑这个可能性极大,以前装 Wordpress 都喜欢用默认前缀 wp_ 的,看来后面得改下习惯。
6、关闭 XML-RPC
经过 Disable XML-RPC 插件,完全关闭了 XML-RPC 功能。
七,启用 Https
以前怕麻烦,一直懒得升级,此次被迫弄了下,借助 Really Simple SSL 插件升级到了 Https,还算比较快的,就是要验证的细节比较多,后面把 Google Webmasters 中的相关信息也更新了下 。
从新部署以后到如今也有两三周了,经过 WordFence 后台发现了一些异常的访问,也屏蔽了一些 IP,但至少目前博客看起来仍是安全的,没有被渗透的迹象。
上周的时候,Google 搜索了下博客名字,原本是想看下是否还有以前加上的垃圾连接时,发现竟然有全站连接了,不清楚是否是改了 Https 以后带来的,算是个意外之喜。
我的博客虽小,安全也得注意,尤为对于 WordPress 这么流行的博客系统,安装后必定要检查是否作到了如下三点:自动更新、安全插件按期扫描和自动备份,作到了这三点,基本可保网站无虞。