提高网站安全性

昨天看了下Limit Login Attempts这个插件,才发现在网站还没步入正轨就已经有人开始想登陆后台了,幸好在建站的时候自动安装了这个插件,不然可能就已经GG了,网站安全性的加强迫在眉睫。

修改默认登陆地址

在域名后加/wp-admin/wp-login.php就可以进入WordPress的后台登陆地址,而这个地址是公开的,所以需要修改成自己才知道的地址,由于yellowko短期内没有开放用户注册的计划,所以这个想法是可行的。这里介绍两个方法:

修改主题的function.php文件

找到function.php,在最后添加类似于这样的代码

add_action('login_enqueue_scripts','login_protection');
function login_protection(){
 if((_GET['admin'] != 'yellowko') || (_GET['wife'] != 'miku'))header('Location: https://yellowko.com');
}

修改login.php

找到login.php,在大概50多行找到这几行代码

if ( shake_error_codes &&wp_error->get_error_code() && in_array( wp_error->get_error_code(),shake_error_codes ) )
		add_action( 'login_head', 'wp_shake_js', 12 );

同样的在后面添加这样的代码就行了

if((_GET['admin'] != 'yellowko') || (_GET['wife'] != 'miku'))header('Location: https://yellowko.com');

两种方法都达到了同样的效果,这样要登陆后台管理就只能通过这个链接

https://yellowko.com/wp-login.php?admin=yellowko&wife=miku

一旦输错,就会跳转到

https://yellowko.com

if里面的值可以改成自己喜欢的字段,这样就可以实现定制后台登陆地址了233333。刚修改完很多朋友会迫不及待地测试,发现/wp-login.php的后缀已失效,变成了自定义的后缀,但是/wp-admin的后缀仍然可以进入到后台,然后就开始怀疑人生,emmmmm,其实是因为你的账号还没退出登陆呢!账号退出登录后,后台的入口就隐藏了起来,是不是很棒!

安装安全插件

yellowko不可能一直盯着网站的呢,这时就需要插件来帮助扫描发现网站是否被渗透(太小白了所以只能靠插件帮忙( ̄▽ ̄)”)。在WordPress的插件市场找到了Wordfence这个安全插件。

 

安装以后似乎功能很多嘛,那么就让我来扫描一下,然后就emmmmm((╯‵□′)╯︵┻━┻),9个问题,开玩笑的吧。。。

那一个个看看吧,打开一个被认为是恶意文件的,这似乎是installatron的文件,想想好像不是那么对劲,查了下似乎没人有这个问题,那么备份一下就愉快地删掉吧。

下面几个似乎都是因为有汉化导致不同的误报

再接下来,emmmm,这不是上面一条刚改的隐藏登陆地址的代码吗。。。。最后一个是这篇文章的起因Limit Login Attempts,好吧,这个插件似乎5年多没更新了:

我在Wordfence的Options下面也发现了类似功能,登陆IP的信息可以在Dashboard里面看见,那么愉快地和LLA说拜拜吧”*★,°*:.☆( ̄▽ ̄)/$:*.°★* 。”

往下翻了翻,然后开心地发现了还有隐藏WP版本号的功能:勾上O(∩_∩)O,功能似乎还很多,需要花时间探索,这里附上官方文档

使用Akismet

这是一个防止辣鸡评论的插件,不光是这样,防止评论里面的恶意代码攻击也很重要呢。

注册登陆后,选择个人博客,然后可以自定价格,算是一种捐款吧,因为可以这样操作。。。

不过现在yellowkod的小站还没什么流量,人工审核评论还是可行的。

为防止评论中带有恶意代码,需要在functions.php中添加这一段代码,让评论区的代码被直接输出,这样能非常清楚地看见恶意代码的存在。点击查看效果

function comment_code_escape( incoming_comment ) {incoming_comment = htmlspecialchars(incoming_comment, ENT_QUOTES);
    returnincoming_comment;
}
add_filter( 'comment_text', 'comment_code_escape' );
add_filter( 'comment_text_rss', 'comment_code_escape' );

强制用户使用https协议

使用CDN完全隐藏主机IP

这两个在之前的文章已经提到过,这里就不在重复了。

注意更新插件和WordPress

对于我这样喜新厌旧的人,只要不是新版本有什么非常影响使用的问题,当然会更新到最新版的啦,新版本一般情况下都会对旧版本的漏洞进行修复,不更新不是等着被黑客打吗

备份备份备份

真的被黑了怎么办啊,这个不是自己能控制的啊,所以还是得学会被打啊QAQ,被打哭了还得继续做网站啊,黑客把家砸了还怎么做啊,所以说让你备份啊。在自己尝试使用Godaddy的cPanel手动对网站进行了完整备份了,网站目录和数据库加起来大概120m,打包压缩后的数据有43m,看起来并不小,但是如果只是日常备份很多不重要的文件是不需要选的,而且也不会保留太多份备份,选择免费网盘的话应该也会够用。嘛~做好备份才能有东山再起的机会啊。因为菜,辣鸡的我还是找了一个插件:UpdraftPlus

看起来似乎支持很多网盘,而且还支持FTP之类的,略微设置后通过网盘验证后就能实现备份了,备份频率什么的根据自己平常修改网站的频率来设置就好。

结语

提高网站安全性的手段还有很多呢,这里yellowko就只聊了这几种,顺便感慨一句:萌新做网站真不容易啊o(* ̄▽ ̄*)o

 

关于 “提高网站安全性” 的 2 个意见

发表评论

您的电子邮箱地址不会被公开。

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据