准备渗透测试

时间:2015-07-09 14:16:18

标签: wordpress security content-management-system penetration-testing

我已经将WordPress用作重要项目的CMS。

IT挑战我在本地(WAMP)服务的内联网上构建这个基础WP安装,并尽我所能锁定它。然后,他们将使用企业级渗透测试软件攻击安装。

我只知道最少量的细节,但我提到了一些我反对的安全工具,并将与企业级软件一起使用:

  1. Kali.org
  2. darknet.org.uk
    3. 中的工具
  3. Watabo

    4. 我做了什么: 擦除了所有基本的WP开箱即用数据,例如管理员用户名,更改的登录页面URL,删除了ajax调用,利用了iThemes Security插件中的所有选项(非常令人印象深刻)以及我自己的一些选项。 / p>

    我的问题 高级关于保护WordPress运行2015主题及其PHP框架和数据库的建议。适当的htaccess配置和可能的陷阱。对任何高级方法的建议,以确保网站可能无法通过笔测试。

1 个答案:

答案 0 :(得分:1)

让网站完全无懈可击并不容易,特别是如果你选择了Wordpress。

您应该不断更新Wordpress网站。这意味着您必须遵循所有更新并立即安装它们。有时它不容易做,如果一切正常,数据库也不小。 Wordpress是世界上最受欢迎的开源CMS,很多人都希望破解它,编写在线搜索漏洞的抓取工具等。

提高任何网站安全性的简单步骤:

  1. 关闭端口,如果您不使用它或安装防火墙,tcpwrapped等。
  2. 永远不要使用FTP。改用SSH。
  3. 不要在整个文件夹上制作权利777。将其设为555,当您需要上传某些图像或其他内容时,将权限更改为777或755(如果您通过ssh执行此操作)。完成工作后,将权限更改回555.如果不允许写入,则无法通过前端将有效负载或其他恶意代码上传到您的网站。
  4. 检查您的网站是否存在SQL注入漏洞。
  5. 不要使用简单的密码。您甚至可以每月更改密码。
  6. 不要重复密码。
  7. 定期更新您的软件。
  8. 对于后端安全性,您可以使用一些IDS,例如Snort - https://www.snort.org/,但它并不容易正确配置。此外,您应该了解网络的工作原理,tcp / ip,攻击类型等等。
  9. 如果您不了解信息安全性,请使用OpenBSD作为服务器操作系统。它的创建重点是提高安全性。
  10. 使用一些网络扫描程序(例如nmap)并测试服务器是否存在漏洞。

    11. 最后:我不建议使用Wordpress来获得可靠的安全性:)并且说更多我需要看一下网站。

相关问题
最新问题