WordPress網站如何做安全防護呢?
這兩天又有朋友的WordPress網站被攻擊了,似乎大家對這塊的討論又多了起來。
其實對于網站的安全防護,我之前有專門整理過相應的SOP手冊(在運營手冊那個文檔),那今天谷歌SEO培訓就以WordPress網站為案例來談網站安全防護。如圖:
看上圖,我在我的博客域名后面加了“/wp-json/wp/v2/users”這一串定位符,于是便可以看到我這個網站上的所有用戶信息。
要是想登錄網站后臺,那只需要找到這個用戶的登錄密碼便可以了對吧,畢竟WordPress站點的默認后臺地址是“/wp-admin”。而想獲取到用戶密碼,最簡單的方式便是采用密碼本進行爆破。
所以上面這一套邏輯,便是最簡單的WordPress滲透方式。
但是我想說的是,這種操作的原理雖然簡單,而真正想要實操起來卻并不容易。
因為現在絕大多數的服務器提供商,已經對管理員用戶的登錄次數做了限制。換句話說就是,如果你嘗試在相同IP條件下,反復嘗試密碼破解,基本幾次請求之后就會被拒絕訪問(訪問IP被加入黑名單)。
這也就是我一直強調的,盡可能選擇大品牌的服務提供商的產品,盡可能啟用他們的安全防護服務。
但現實卻是,有不少小伙伴出于成本的考量,會去選擇某些廉價,或者基礎設置并不怎么完善的服務器產品進行網站搭建,然后也不怎么重視(或者無意識忽視)網站的安全防護。
更有甚者,會隨意在網站上安裝一些破解版的主題或插件,進而加劇網站的安全風險。
當然我這里并不是說不能選擇小眾服務器產品,我想表達的是聚焦精力。因為我們的重心是做網站運營,而非搞什么技術防護。
那一個簡單的、適合所有人的方案就是直接多花點錢,將這塊內容交給值得信賴的服務商,讓他們去保護自己的網站,而自己則聚焦精力專注做自己的內容。
按照我自己的經驗,選擇大品牌的服務器提供商,然后按照他們的操作手冊設置好相應的安全設置。并且在運營的過程中拒絕所有不安全的因素(比如破解版主題插件、不信任應用的第三方授權),那網站基本不會出現問題。
更進一步,當你的網站流量達到一定量級后,直接花錢買相應的安全服務方案,將這塊內容交給專業團隊去做,總比自己一個人苦哈哈折騰要好得多。
最后附上一份安全防護建議。如圖:
