保護你的WordPress網站

目前使用Wordpress搭建的網站已經來到了很瘋狂的數量,

其中也不乏大家耳熟能詳的媒體網站或是官方網站:

 

開發者在開發網站的過程中,專注在整合著前後台功能的同時,

常常疏忽了對於網站的保護措施,這篇文章想與大家簡單聊聊關於如何改善你的Wordpress網站的安全性。

 

在我們安裝Wordpress時,通常使用的管理者使用者名稱為admin,再搭配設立的密碼,

形成第一組 username / password的組合,同時也具有網站的最大權限 (管理者)。

 

這邊就露出了一個小問題,畢竟得到了管理者的帳號密碼就等於得到了這個網站的所有權限,

如果你跟我一樣懶的話,那管理者的使用者名稱就是admin,

所以駭客要做的事情就變得很簡單,猜你的密碼。

 

以暴力攻擊的窮舉法來說,就算不寫程式去猜你的密碼,人工的方式整天沒事幹一天試300組,

一年下來也可以嘗試300*365 = 109500次,可想而知,寫個小程式去猜你的密碼對駭客來說簡直是小菜一碟,

不出兩天,密碼應該已經被破解,駭客已可以輕易進入你的後台任意更改你的所有資料。

 

聽起來很可怕對吧!?

所以更應該加強網站的安全性,請聽我娓娓道來….

 

通常我們會這樣做:

1. 建立一組黑名單,擋住那些駭客的IP,

但駭客下次換個IP就又破解了,所以比較正確的做法應該是

2. 建立白名單,也就是設定只有你或者是你認可的IP可以進入這個管理後台。

 

如果你以為我接下來要告訴你怎麼建立黑白名單,那就大錯特錯了,

關於資安的事情,還是交給專業的來,更何況是高手已經寫好又是免費的外掛,

要跟大家介紹的是一套專門做安全性的外掛: iThemes Security

下載位址: https://wordpress.org/plugins/better-wp-security/

 

安裝完成後,應該會在WP的後台看到Security的選項畫面,

 

Screen Shot 2015-01-30 at 11.52.22 PM

 

點Dashboard後應該會看到這個畫面

 

screenshot-1

 

 

接下來他會導引你去這個網站申請一個API key,https://www.virustotal.com/en/

Screen Shot 2015-01-30 at 11.59.30 PM

拿到API key之後,剩下的就跟使用其他plugins沒有差異啦,因為後台就是一些簡單的選項選擇。

 

這塊可以設定自已的IP為白名單:

Screen Shot 2015-01-31 at 12.02.12 AM

 

 

這塊可以設定黑名單:

 

Screen Shot 2015-01-31 at 12.03.29 AM

 

當然還可以強制不使用admin這個帳號:

Screen Shot 2015-01-31 at 12.15.23 AM

不過當然你要先創建一個新的管理者帳號再刪掉本來的admin。

 

大致介紹到這邊,還有很多沒介紹到的功能就交給大家自己玩玩看囉。