-1

我已经证明了将 WordPress 用作一个重要项目的 CMS。

IT 要求我在本地 (WAMP) 服务的 Intranet 旁边构建这个基础 WP 安装,并尽我所能将其锁定。然后,他们将使用企业级渗透测试软件攻击安装。

我只知道最少的细节,但是已经提到了一些我所反对的安全工具,并将与企业级软件一起使用:

  1. Kali.org
  2. 来自darknet.org.uk的工具
  3. 渡房

我所做的: 擦除所有基本的 WP 开箱即用数据,例如管理员用户名、更改登录页面 URL、删除 ajax 调用、利用iThemes 安全插件中的所有选项(这非常令人印象深刻)和我的一些自己的。

我的问题是关于保护 WordPress 运行 2015 主题及其 PHP 框架和数据库的高级建议。正确的 htaccess 配置和可能的陷阱。有关保护可能无法通过渗透测试的网站的任何高级方法的建议。

4

1 回答 1

1

让网站完全无懈可击并不容易,尤其是如果您选择了 Wordpress。

您应该不断更新您的 Wordpress 网站。这意味着您必须关注所有更新并立即安装它们。有时这并不容易,如果一切正常,并且数据库不小。Wordpress 是世界上最流行的开源 CMS,很多人都想破解它,编写爬虫,在线搜索漏洞等。

提高任何网站安全性的简单步骤:

  1. 如果您不使用端口或安装防火墙、tcpwrapped 等,请关闭它。
  2. 永远不要使用 FTP。请改用 SSH。
  3. 不要在整个文件夹上设置权限 777。将其设为 555,当您需要上传一些图像或其他内容时,将权限更改为 777 或 755(如果您通过 ssh 执行此操作)。完成工作后将权限更改回 555。如果不允许写入,任何人都无法通过前端将有效负载或其他恶意代码上传到您的网站。
  4. 检查您的网站是否存在 sql 注入漏洞。
  5. 不要使用简单的密码。您甚至可以每月更改密码。
  6. 不要重复密码。
  7. 定期更新您的软件。
  8. 对于后端安全,您可以使用一些 IDS,例如 Snort - https://www.snort.org/,但正确配置并不容易。此外,您应该了解网络的工作原理、tcp/ip、攻击类型等等。
  9. 如果您不太了解信息安全,请使用 OpenBSD 作为您的服务器操作系统。它的创建强调提高安全性。
  10. 使用一些网络扫描仪(例如 nmap)并测试您的服务器是否存在漏洞。

最后:我不建议使用 Wordpress 来获得可靠的安全性 :) 并且说更多我需要看一下网站。

于 2015-07-09T17:19:45.793 回答