今天，全球網(wǎng)站占據(jù)了驚人的三分之一份額。自中期實施多項SEO功能以來，一直是國外社區(qū)的CMS平臺。因此，它也成為許多黑客的目標，主要是出于 SEO 垃圾郵件的原因，但攻擊會使情況變得更糟。

以下是確保您的網(wǎng)站安全的一些基礎(chǔ)知識和方法。

安全嗎？

最新版本簡單易用。但是，忽略更新它可能會使其不安全。這就是為什么許多安全專業(yè)人士和開發(fā)人員不是粉絲的原因。也類似于固有的不安全 PHP 代碼，它本身警告該漏洞“源自平臺的可擴展部分，特別是插件和主題”。

更新

沒有系統(tǒng)是 100% 安全的。安全更新需要安全運行，這些更新不會對您產(chǎn)生負面影響。打開自動安全更新。但是，更新核心確實需要確保一切都兼容。兼容版本可用時立即更新插件和主題。

開源

開源既有風險也有好處。該項目受益于向核心貢獻代碼的開發(fā)人員社區(qū)、核心團隊修補社區(qū)發(fā)現(xiàn)的安全漏洞以及黑客發(fā)現(xiàn)撬開內(nèi)容的方法。及時的漏洞利用會檢測正在運行的內(nèi)容以匹配您版本的已知漏洞。

保護你自己

即使您沒有管理員角色，也可以采取一些措施來保護自己。確保您在具有定期掃描工作站的安全網(wǎng)絡(luò)上工作。阻止廣告以防止一些偽裝成圖像的復雜攻擊。當您從公共 WiFi 熱點工作時，請使用 VPN 進行端到端加密，以防止會話劫持和 MITM 攻擊。

安全碼

無論您的角色如何，安全地管理密碼都很重要。確保您的密碼是唯一的且足夠長。當密碼不夠長時，即使是標點符號、數(shù)字和字母的組合也不夠安全。您需要一個長密碼。如果您需要記憶，請使用四個或五個單詞串在一起的短語，但最好使用為您生成密碼的密碼管理器。

密碼長度

為什么長度如此重要？換句話說，使用名為 . 無論您的密碼多么難以理解，破解一個簡短的密碼只需要幾個小時。當您的密碼超過 13 個字符時，將更難破解網(wǎng)站模板，至少目前是這樣。

行政人員

如果您具有管理員用戶角色，請為自己創(chuàng)建一個具有僅編輯角色的新用戶。開始使用新的配置文件而不是管理員。這樣，WAN 攻擊將集中攻擊您的編輯角色憑據(jù)，如果您的會話被劫持，您將擁有更改密碼并從入侵者手中奪取控制權(quán)的管理員權(quán)限。通過使用插件強制每個人都遵循強密碼策略。

安全政策

如果您有安全經(jīng)驗，請對插件和主題進行代碼審查。為所有用戶建立最小權(quán)限原則。然后你強迫黑客執(zhí)行彈出技巧和權(quán)限提升，這涉及攻擊憑據(jù)以外的目標。

更改文件權(quán)限

如果您控制主機，請使用控制面板為自己提供一個 SFTP 帳戶（如果您有），或嘗試您有權(quán)訪問的管理 UI。它可能具有配置憑據(jù)以打開安全終端窗口 (SSH) 的副作用。這樣，您可以使用系統(tǒng)實用程序等執(zhí)行額外的安全措施。

鎖定關(guān)鍵文件

除了正在運行的 PHP 進程之外，還有一些文件不應該被訪問。您可以更改文件權(quán)限并編輯 . 以進一步鎖定這些文件。要更改文件權(quán)限php網(wǎng)站密碼破解，請使用 SFTP 客戶端（如果有選項），或打開終端窗口并運行命令。

$400.wp-

$ ls -la

這意味著只有正在運行的 PHP 進程才能讀取該文件，而不能讀取其他任何內(nèi)容。該文件不應該設(shè)置“執(zhí)行位”，例如 700。您應該在第二位和第三位始終有零 - 這才是真正鎖定它的原因。使用 -la 選項通過運行 ls 實用程序來驗證更改并查看。

具有嚴格的文件權(quán)限設(shè)置意味著即使文件通過，也無法將任何內(nèi)容寫入文件。

$600.wp-

當配置文件發(fā)生重大更新時，您將需要授予寫入權(quán)限。如果有的話，它應該很少發(fā)生。

登錄文件

使用 . 鎖定 wp-.php 文件。限制對我的 IP 地址的訪問非常適合我從靜態(tài)分配的 IP 工作，或者為我自己和某些用戶工作的少量地址。如果您從其他位置登錄php網(wǎng)站密碼破解，只要您可以在控制臺上獲取設(shè)置，更改設(shè)置并不難。只需注釋掉拒絕指令，使用瀏覽器登錄網(wǎng)站制作，然后取消注釋即可。

＃ 頁

否定，

全部拒絕

從 111.111.111.11

XSS 和 SQL 注入

到目前為止，您將遇到的最可怕的攻擊是跨站點腳本 (XSS) 和 SQL 注入。您可以使用 . 字符串重寫規(guī)則來阻止其中的一些，最好使用可以為您管理這些的插件。一些安全插件會掃描您的安裝以尋找入侵跡象。如果您知道如何對您在日志中閱讀或看到的攻擊使用重寫、重定向或阻止查詢字符串簽名。

安全插件

一些安全插件會掃描您的安裝以尋找入侵跡象。是一個定期更新的流行安全插件。有一個付費選項可以掃描您的安裝。防火墻將嘗試限制基于請求的攻擊，在它們到達核心之前阻止它們。您還可以編寫應用程序來使用新的 Web Risk API 掃描您網(wǎng)站的頁面。