经过多次维护 WordPress 网站后，我学到了以下内容-php教程-PHP中文网

经过多次维护 WordPress 网站后，我学到了以下内容

Barbara Streisand

发布： 2025-01-24 04:04:14

原创

591 人浏览过

After More than ears of Maintaining WordPress Websites, Here’s What I’ve Learned

简介

网站安全至关重要，尤其是面对日益复杂的网络威胁。本指南提供了增强 WordPress 网站抵御常见漏洞的实用步骤。

1。安全且最新的 WordPress 主题和插件

避免盗版软件：切勿使用未经许可的主题或插件；他们经常受到损害。可靠的来源和持续的支持至关重要。对于企业级项目，请考虑来自信誉良好的提供商的高级主题，提供强大的安全性和支持。
优先考虑维护良好的主题：选择积极开发和定期更新的主题。这确保了对关键安全补丁的访问。
无头 WordPress： 探索使用 WordPress 作为无头 CMS 以及 NextJS 和 WP REST API 等框架。这种架构可以增强性能和安全性。

2。实施强大的安全实践

定期更新：保持 WordPress 核心、主题和插件更新以修补已知漏洞。
安全审核： 使用 WPScan（针对 WordPress 特定漏洞）、BurpSuite（针对标头和 cookie 检查）和 Nmap（用于识别和保护开放端口，例如 SSH 或 WP-CLI）等工具。
SSH 和 WP-CLI 强化： 保护 SSH 访问并谨慎管理 WP-CLI，以防止未经授权的访问。
禁用未使用的 API 路由：停用不必要的 API 端点（例如 rest_route=/wp/v2/users）以最大程度地减少攻击面。
数据泄露预防：定期扫描内容以防止意外泄露用户名或凭据等敏感信息。

3。加强保护的速率限制

限制用户请求以防止滥用并减轻 DDoS 攻击。合理的限制可能是每分钟 500 个请求，并采取措施阻止过多的流量。

DDoS 攻击说明： 以下脚本说明了一个简单的脚本如何淹没服务器：

<code class="language-javascript">function floodImagesXYZ() {
  var TARGET = ""; // ADD TARGET URI
  var URI = "/index.php?";
  var pic = new Image();
  var rand = Math.floor(Math.random() * 10000000000000000000000);
  try {
    pic.src = "http://" + TARGET + URI + rand + "=val";
  } catch (error) {
    console.log(error);
    console.log("Error in:", URI);
  }
}
setInterval(floodImagesXYZ, 10);</code>

登录后复制

采用速率限制和 Cloudflare 等服务可以有效缓解此类攻击。

4。利用强化工具和技术

限制文件上传：如果不需要降低漏洞风险，请禁用 PHP 文件上传。
服务器级强化：实施服务器端安全措施，解决文件权限和脚本执行漏洞。

5。页面构建器注意事项

使用页面构建器（Divi、Elementor、WPBakery）时，在编辑过程中暂时禁用阻止 PHP 上传的安全工具，以避免冲突。

6。自定义代码安全最佳实践

代码审查：彻底审查所有自定义代码、小部件和第三方集成是否存在安全缺陷。
利用开发工具：使用Plugin Check Plugin、Envato Theme Checker、PHPUnit 和 PHP Code Beautifier 等工具来维护代码质量和安全性。
数据清理和随机数验证：始终清理用户输入并验证随机数以防止安全漏洞。

7。 Web 应用程序防火墙 (WAF) 实施