Es ist ein schrecklicher Albtraum: Eines Tages öffnen Sie Ihre Website und stellen fest, dass Sie gehackt wurden. Wenn Sie einen einfachen persönlichen Blog betreiben, könnte dies ein ärgerlicher Vorfall sein. Wenn Sie die Websites Ihrer Kunden hosten, kann Ihr Tag schwierig und stressig werden. Wenn Sie eine E-Commerce-Website mit hohem Volumen betreiben, kann dies zu Panik führen. Egal in welcher Situation, Sie teilen Neuigkeiten nicht mit fröhlichen Emojis. Daher benötigen Sie eine Strategie, um Angriffe zu verhindern.
Da sind Sie genau richtig. In dieser zweiteiligen Miniserie zeige ich Ihnen, wie Sie Ihr WordPress-Projekt so sicher wie möglich machen.
Einführung in die WordPress-Sicherheit
Denken Sie, dass WordPress sicher ist? Es ist in Ordnung, wenn Sie dies nicht tun, da viele Leute denken, dass WordPress ein unsicheres Content-Management-System ist, aber nichts könnte weiter von der Wahrheit entfernt sein … zumindest heute.
Was haben Microsoft Windows, Android, Google Chrome und WordPress gemeinsam? Beides ist eine sehr beliebte Software, in der immer wieder Sicherheitslücken entdeckt werden. Obwohl sie alle regelmäßig auf Fehler und Sicherheitslücken gepatcht werden, sind sie durch das Vorhandensein von Sicherheitslücken unsicher?
Es tut mir leid, wenn Sie anders gedacht haben, aber das ist nicht der Fall. Häufige Patches bedeuten nicht zwangsläufig, dass eine Software schlecht gegen Sicherheitsbedrohungen geschützt ist. Das Katz-und-Maus-Spiel zwischen Entwicklern und Hackern wird immer weitergehen und Hacker werden immer Wege finden, Software zu knacken. Wenn die Software wie WordPress skalierbar ist, steigt auch die Wahrscheinlichkeit eines Hackerangriffs.
Was hier wichtig ist, ist Reaktionsfähigkeit und Vorbeugung, und darin zeichnet sich WordPress aus. Sie müssen ein paar Tage warten, bis Google Chrome die Sicherheitslücke schließt, und sogar ein paar Wochen, bis Microsoft einen Sicherheitsupdate veröffentlicht, aber die große WordPress-Entwicklergemeinschaft wird in der Lage sein, Zero-Day-Sicherheitslücken noch vor dem Ende zu schließen von 2019. Tag 1. Außerdem gibt es ein ganzes Team, das sich dem Schutz des WordPress-Kerns widmet, sodass wir das auch ziemlich gut im Griff haben. Wenn es um Themes und Plugins geht, ist es möglicherweise etwas einfacher, Fehler und Mängel zu finden, und es kann länger dauern, sie zu beheben, aber die Community hat die Unterstützung der Entwickler.
Allerdings ist nichts 100 %sicher. Wir leben in einer Zeit, in der Wissenschaftler kurz davor stehen, den Code in unserem Gehirn zu knacken! Nichts ist unverständlich – natürlich auch unser Gehirn – und WordPress bildet da keine Ausnahme. Aber nur weil eine 100-prozentige Sicherheit unmöglich ist, heißt das nicht, dass wir nicht eine 99,999-prozentige Sicherheit anstreben sollten.
WordPress-Sicherheit verbessern
Basierend auf persönlichen Erfahrungen und weiteren Recherchen habe ich einige Sicherheitsmaßnahmen zusammengestellt, die Sie ergreifen sollten, falls Sie dies noch nicht getan haben. Lernen wir sie jetzt ohne weitere Umschweife kennen!
Schützen
Dateien
.htaccessLass uns einfach anfangen.
Wenn Ihre WordPress-Website auf einem von Apache betriebenen Webserver gehostet wird und Sie „Pretty Permalinks“ in den
Einstellungen
aktiviert haben, generiert WordPress eine Datei namens , um grundlegende Informationen zur WordPress-Permalink-Beschreibung zu speichern. Wenn Sie hübsche Permalinks nicht aktivieren, generiert der Core die -Datei nicht, aber die Tipps, die ich gleich zeigen werde, gelten trotzdem – Sie müssen die Datei nur selbst erstellen. .htaccess 的文件来存储基本信息WordPress 永久链接说明。如果您不启用漂亮的永久链接,核心将不会生成 .htaccess
Nano-Tipp: Wenn Sie selbst eine
-Datei erstellen möchten, aber Schwierigkeiten haben, eine ohne Namen, aber mit der Erweiterung .htaccess 文件,但很难创建一个没有任何名称但带有 .htaccess 扩展名的文件,只需上传一个空文件即可使用任何名称(例如 Untitled.txt zu erstellen, laden Sie einfach eine leere Datei mit einem beliebigen Namen hoch (z. B. Untitled.txt) und Ändern Sie den Namen und die Erweiterung im FTP-Client.
Mein erster Gedanke ist, die htaccess Dateien zu schützen. Von den Tipps und Tricks, die ich Ihnen zeigen werde, ist dies die einfachste Lösung. Sie müssen der Datei lediglich die folgende Zeile hinzufügen:
# protect .htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>
Nach dem Login kopieren
Dies ist ein harmloser Trick, der Ihre htaccess-Datei vor jedem (oder jedem) schützt, der darauf zugreifen möchte.
Als nächstes deaktivieren wir die Anzeige des Ordnerinhalts:
# disable directory browsing
Options All -Indexes
Nach dem Login kopieren
Dadurch verhindern Sie, dass Fremde den Inhalt Ihres Ordners sehen, wenn sie beispielsweise darauf zugreifen möchten myblog.com/wp-content/uploads/。通常,他们能够查看上传的文件或浏览 /uploads/ 目录中的子文件夹,但通过这个小技巧,他们将看到来自服务器的 403 Forbidden antworten.
Abschließend möchte ich auf eine großartige „Blacklist“ von Perishable Press verweisen: Die 5G Blacklist. Diese Blacklist schützt Ihre Website vor einer Vielzahl bösartiger Aktivitäten, von schädlichen Abfragezeichenfolgen bis hin zu fehlerhaften Benutzeragenten.
Das ist der htaccess 技巧。现在,让我们继续学习 wp-config.php Trick. Kommen wir nun zum wp-config.php-Trick.
wp-config.php 文件及其内容的安全技巧
就安全性而言,wp-config.php 文件可能是整个 WordPress 安装中最重要的文件。您可以用它做很多事情来强化您的网站。
让我们从一个有趣的技巧开始:您是否知道可以将 wp-config.php 文件放在 WordPress 根目录中的上一级?如果它不会让您感到困惑,请立即执行。大多数时候,我将 WordPress 安装在 public_html 目录中,并且喜欢将 wp-config.php 文件放在用户根目录中。不确定这是否是万金油配方,但至少它感觉更安全。 Stack Exchange 的一些人就这个话题进行了很好的辩论。
顺便说一下,让我们回到根 .htacccess 文件并添加以下行以拒绝访问 wp-config.php 文件:
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Nach dem Login kopieren
这是一个有趣的想法:删除编辑主题和插件文件的权限怎么样?所需要做的就是将以下行添加到 wp-config.php 文件中:
define( 'DISALLOW_FILE_EDIT', true );
Nach dem Login kopieren
感觉更加偏执?将以下行粘贴到上面一行下方以完全禁用主题和插件安装和删除:
define( 'DISALLOW_FILE_MODS', true );
Nach dem Login kopieren
关于强化 WordPress 的另外两个技巧:更改数据库前缀,并在 wp-config.php 文件中添加安全密钥(或 salt 密钥)。
第一个很简单:通过查找以下行来检查是否将数据库前缀设置为默认值:
$table_prefix = 'wp_';
Nach dem Login kopieren
如果它设置为 wp_,您应该将其更改为除此默认值之外的其他值。您无需记住它,因此可以输入任何内容。我喜欢使用 wp_fd884vg_ 这样的组合来保证它的安全性和可读性。
更改安全密钥也非常容易。通过找到以下行来查看键是否为空:
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
Nach dem Login kopieren
如果他们都说'把你独特的短语放在这里',这意味着他们还没有设置。在这种情况下,只需转到此 URL(也在代码注释中引用)并使用上面的行更改该页面中生成的行。
Nano-tip:如果您想知道这些“盐密钥”是什么,WPBeginner 有一篇很棒的文章介绍了这种安全措施的好处。
wp-config.php 技巧就到此为止!今天就到此为止吧。
今天总结
我希望您今天喜欢这些 .htaccess 和 wp-config.php 技巧。在这个迷你系列的下一部分中,我们将介绍一些安全插件和其他有关强化 WordPress 的重要技巧。如果您有任何问题或意见,请随时在下面的评论部分中提出。
下一部分见!
Das obige ist der detaillierte Inhalt vonStärkung der WordPress-Sicherheit, Teil 1. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
