保护你的WordPress

互联网就如同一个美妙和险恶并存的“夜店”,如果不做好防护措施,没准哪天你就被“传染”点啥,所以,在互联网这种地方混,做好一些基本的防护措施,戴个保险套,是保证安全的首要任务。这里的内容基本都是结合我自己的做法写出来的,也属于最基本的安全防护措施,适合“夜店新手”  🙂

1. 在电脑上建立一组与你的站点结构一模一样的文件夹,定期备份图片、数据库、主题,如果觉得有必要,插件也可以备份(不备份的话,在新装wordpress之后,因为数据库中留有插件信息,系统会提示你哪些插件应该安装,所以一般情况下插件不必备份)。这其中有几个窍门:对于图片,如果条件允许,图片之类的内容可以独立建一个站,用主站二级域名或者独立域名的形式来连接,就是俗话说的“鸡蛋别放一个篮子里”,在提升安全性的同时也更方便于你的备份;对于数据库,如果使用了诸如cpanel之类控制面板的话,可以方便地设定定期备份。另外,WP中关于定期备份数据库的插件也很多,例如:WP-DB-Backup等,搜一下即可。

2. 定期检查WP目录,看是否有不明来源的文件,如果你不确定,可以上google或者百度进行搜索。另外注意/wp-content/uploads这个文件夹,你所上传的主题压缩包、图片、文件等一些东西都在这里,如果你已经将图片等内容独立建站,那么这个文件夹里的东西可以全部删除,以绝后患。

3. 定期更换你的WP后台密码,你为你无法确保你的密码有多安全,也无法保证你不会在某个场合泄露关于密码的内容,所以,定期换密码这条法则虽麻烦、啰嗦,但绝对有效!

4. 定期搜索数据库中的恶意代码,这在一定程度上可以清除注入等手段造成的危害。如果你的主机商提供了phpmyadmin之类的在线管理方式,可以直接在“数据库 > SQL”中进行查询操作,例如:

SELECT * FROM wp_posts WHERE post_content LIKE '%<iframe%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%<noscript%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%display:%'

这是一个联合查询语句,且查询的是wp_posts这个表,你也可以分别查询不同的表,然后确认你的数据库中是否含有以上内容,当然,这些内容也可能是及自己为了某个效果而加上去的,注意别删错了。另外,如果没有phpmyadmin这种在线编辑器,也可以将数据库下载,然后用诸如notepad++之类的文本编辑器类进行搜索、删除操作(此法仅适用于大小在几十兆以内的数据库)。

5. 如果你的站已经出现恶意代码,那么除了在数据库中将其搜索、剔除外,个人推荐在做好数据库、图片备份的情况下(前提是你能确保数据库备份是安全的),将站内所有文件、文件夹都删除,然后重新从wordpress下载文件、上传、设置。

6. 选择主机商,建议选择品牌较大、口碑较好的,一方面技术实力有保证,即便出现问题,一个ticket发过去,很快会得到解决;二来因为主机商本身影响面大,出问题后可以很方便地从网络上获取解决办法。

就写这么多吧,很多安全设置细节上的操作,还是要个人在实际应用中总结、提高的,何况每个人对“安全”的理解都不尽相同,比人的设置最多只是一个参考和提示,最终还需要自身加强这方面的工作。

附:WordPress官方对于安全设置的建议

26 thoughts on “保护你的WordPress

Leave a Reply

Your email address will not be published. Required fields are marked *