目前使用Wordpress搭建的網站已經來到了很瘋狂的數量,
其中也不乏大家耳熟能詳的媒體網站或是官方網站:
開發者在開發網站的過程中,專注在整合著前後台功能的同時,
常常疏忽了對於網站的保護措施,這篇文章想與大家簡單聊聊關於如何改善你的Wordpress網站的安全性。
在我們安裝Wordpress時,通常使用的管理者使用者名稱為admin,再搭配設立的密碼,
形成第一組 username / password的組合,同時也具有網站的最大權限 (管理者)。
這邊就露出了一個小問題,畢竟得到了管理者的帳號密碼就等於得到了這個網站的所有權限,
如果你跟我一樣懶的話,那管理者的使用者名稱就是admin,
所以駭客要做的事情就變得很簡單,猜你的密碼。
以暴力攻擊的窮舉法來說,就算不寫程式去猜你的密碼,人工的方式整天沒事幹一天試300組,
一年下來也可以嘗試300*365 = 109500次,可想而知,寫個小程式去猜你的密碼對駭客來說簡直是小菜一碟,
不出兩天,密碼應該已經被破解,駭客已可以輕易進入你的後台任意更改你的所有資料。
聽起來很可怕對吧!?
所以更應該加強網站的安全性,請聽我娓娓道來….
通常我們會這樣做:
1. 建立一組黑名單,擋住那些駭客的IP,
但駭客下次換個IP就又破解了,所以比較正確的做法應該是
2. 建立白名單,也就是設定只有你或者是你認可的IP可以進入這個管理後台。
如果你以為我接下來要告訴你怎麼建立黑白名單,那就大錯特錯了,
關於資安的事情,還是交給專業的來,更何況是高手已經寫好又是免費的外掛,
要跟大家介紹的是一套專門做安全性的外掛: iThemes Security
下載位址: https://wordpress.org/plugins/better-wp-security/
安裝完成後,應該會在WP的後台看到Security的選項畫面,
點Dashboard後應該會看到這個畫面
接下來他會導引你去這個網站申請一個API key,https://www.virustotal.com/en/
拿到API key之後,剩下的就跟使用其他plugins沒有差異啦,因為後台就是一些簡單的選項選擇。
這塊可以設定自已的IP為白名單:
這塊可以設定黑名單:
當然還可以強制不使用admin這個帳號:
不過當然你要先創建一個新的管理者帳號再刪掉本來的admin。
大致介紹到這邊,還有很多沒介紹到的功能就交給大家自己玩玩看囉。