10秒后自動(dòng)關(guān)閉
WordPress如何防Webshell、防篡改、防劫持,提升WP漏洞防護(hù)能力

WordPress是一款世界知名的CMS系統(tǒng),不僅可以創(chuàng)建博客網(wǎng)站,還可以用于建設(shè)企業(yè)網(wǎng)站、下載網(wǎng)站、商城等各類網(wǎng)站。功能非常強(qiáng)大、結(jié)構(gòu)科學(xué)合理,深受廣大用戶喜歡。


雖然WordPress非常優(yōu)秀,但是為了保障網(wǎng)站安全,我們還是需要做一些必要的防護(hù)措施,方能提升WordPress的安全防護(hù)能力。


下面我們就來聊聊有哪些防護(hù)方法!


一、 文件防篡改保護(hù)

要防止入侵,防篡改是必不可少的。對(duì)文件做篡改防護(hù)有兩種方法:1、通過ACL策略實(shí)現(xiàn)   2、使用底層驅(qū)動(dòng)實(shí)現(xiàn)


1、 通過ACL策略防篡改

防護(hù)思路:全站只給讀取權(quán)限;再對(duì)部分目錄開放寫權(quán)限,并禁止這些目錄執(zhí)行PHP腳本。


WordPress需要開放寫權(quán)限的目錄有:/wp-content/cache/、/uploads/

/wp-content/cache/:用于存放系統(tǒng)緩存文件和臨時(shí)文件

/wp-content/cache/:用于存放上傳圖片


注意:這兩個(gè)目錄務(wù)必禁止執(zhí)行PHP腳本。


這樣設(shè)置以后,黑客就只能往這2個(gè)目錄寫入文件,由于禁止執(zhí)行PHP腳本,即使黑客上傳了webshell,也無法運(yùn)行。


此方法設(shè)置較為復(fù)雜,需要有很強(qiáng)的專業(yè)技術(shù)。另外局限性也較多,比如無法只對(duì)PHP文件做防篡改,需要對(duì)所有文件做防篡改。如果網(wǎng)站需要生成HTML靜態(tài)文件,就無法使用此方法了。



2、 使用底層驅(qū)動(dòng)防篡改

使用底層驅(qū)動(dòng)技術(shù)防護(hù),即使用防篡改軟件。不同軟件設(shè)置方法不同,推薦使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》,因?yàn)槠鋬?nèi)置WordPress防篡改規(guī)則,非常簡(jiǎn)單的操作就可以開啟強(qiáng)大的防篡改功能(如下圖一),同時(shí)沒有副作用。

 WordPress防篡改模板

(圖一:WordPress防篡改模板)


如上圖,選擇“網(wǎng)站目錄”,安全模板選擇“WordPress安全模板”,防篡改功能就開啟了。系統(tǒng)立即啟動(dòng)防篡改保護(hù),同時(shí)不會(huì)影響管理員日常維護(hù)網(wǎng)站,沒有副作用(非常有特色的地方,大部分防篡改軟件都有副作用)。


當(dāng)黑客上傳webshell的時(shí)候,攔截效如下圖二。

 WordPress防篡改攔截效果

(圖二:WordPress防篡改攔截效果)




二、 網(wǎng)站后臺(tái)訪問保護(hù)

開啟防篡改保護(hù)后,還需要對(duì)后臺(tái)做下防護(hù),防止黑客竊取后臺(tái)信息,進(jìn)行合法的篡改操作(如設(shè)置網(wǎng)站配置信息,植入惡意代碼)。

防護(hù)思路也很簡(jiǎn)單,給后臺(tái)設(shè)置二次密碼,或是限制特定區(qū)域才能訪問(如某個(gè)城市)。《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“網(wǎng)站后臺(tái)保護(hù)”模塊可以實(shí)現(xiàn),填寫后臺(tái)地址,設(shè)置授權(quán)密碼以及允許訪問的區(qū)域,就可以了(如下圖三)。

 WordPress后臺(tái)保護(hù)

(圖三:WordPress后臺(tái)保護(hù))




如果不在授權(quán)區(qū)域的用戶訪問后臺(tái),此時(shí)會(huì)要求輸入授權(quán)密碼(如下圖四)

 WordPress后臺(tái)攔截保護(hù)

(圖四:WordPress后臺(tái)攔截保護(hù))



輸入正確的授權(quán)密碼,或是在授權(quán)區(qū)域的用戶,就可以正常訪問WordPress后臺(tái)(如下圖五)

 WordPress后臺(tái)訪問

(圖五:WordPress后臺(tái)訪問)




三、 防SQL注入、防XSS跨站腳本攻擊

SQL注入和XSS跨站攻擊是黑客常用的入侵手段,也需要做好防護(hù)。

護(hù)衛(wèi)神·防入侵系統(tǒng)》自帶有SQL注入防護(hù)模塊(如下圖六),除了攔截SQL注入,還可以攔截XSS跨站腳本,一并解決全服務(wù)器的安全漏洞,攔截效果如圖七。


溫馨提示:此模塊默認(rèn)已經(jīng)開啟,無需再另行設(shè)置!

 WordPress注入防護(hù)

(圖六:WordPress注入防護(hù))



 WordPress防SQL注入攔截效果

(圖七:WordPress防SQL注入攔截效果)


怎么樣,是不是很簡(jiǎn)單,只需要簡(jiǎn)單兩步設(shè)置,就能輕松解決WordPress漏洞防護(hù)問題。