有谁知道Wordpress的安全性如何? 我不知道如何定义“如何安全”。但与其他CMS系统相比,它有多安全?
更新
详细说明我的项目。 我会有很多用户注册。登录后,他们将可以访问我正在开发的插件。在大约6个月内,我还将提供付费服务 - 我在想PayPal。所有敏感细节都将在PayPals https上处理。
UPDATE2:
(2013年7月15日)
我在MOZ发现了这篇文章:The Definitive Guide to WordPress Security
答案 0 :(得分:5)
我真的不知道如何定义它的安全性,但我可以告诉你一些可以帮助你下定决心的事情。
默认情况下,Wordpress执行不安全登录,因此用户名和密码以明文形式传递。大多数人都喜欢使用Wordpress。
也就是说,从版本2.6开始,您可以通过将登录添加到wp-config.php来强制登录SSL:
define('FORCE_SSL_LOGIN', true);
您还可以使用以下方法选择强制执行所有管理任务的SSL:
define('FORCE_SSL_ADMIN', true);
这应该会很好。无论您使用何种版本,您都可以使用mod_rewrite强制管理SSL:
RewriteRule ^/wp-admin/(.*) https://myblog.com/wp-admin/$1 [C]
并且,如果您需要SSL部分的其他文件夹:
RewriteRule !^/wp-admin/(.*) - [C]
RewriteRule ^/(.*) http://myblog.com/$1 [QSA,L]
这将迫使wp-admin下的所有内容在SSL下运行,其他所有内容都将被强制为“常规”HTTP。
需要考虑的其他事情是MySQL。如果您的博客通过Internet与MySQL通信,您还有一件事需要担心。但是,大多数设置都将MySQL置于安全网络中。如果MySQL与Web服务器在同一台机器上运行,那就更好了,所以你可以在不依赖TCP / IP的情况下进行通信。
答案 1 :(得分:3)
在sucuri.net上查看您的网站,以获取有关恶意软件,垃圾邮件等的更多信息......
我建议使用Wordfence.具有许多功能且能够执行的操作
Better WP Security (aka iThemes Security)也是保护WP的好插件。这也有很棒的功能。
(两个插件一起工作 - 毫无疑问)
Comparison of Better WP Security and WordFence
安全wp-config.php
<Files wp-config.php>
order allow,deny
deny from all
</Files>
禁用目录浏览
# directory browsing
Options All -Indexes
保护.htaccess本身
<files .htaccess="">
order allow,deny
deny from all
</files>
禁用热链接
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?YourDomain [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]
(很多其他内容可以在互联网上找到)
答案 2 :(得分:2)
安装这四个安全插件:
限制登录尝试次数:限制每个IP的登录尝试次数,包括通过Cookie。
Lockdown-wp-admin:通过隐藏管理信息中心并更改登录页面网址来保护WordPress管理界面。
Wp-math-captcha: Math Captcha是一个100%有效的WordPress CAPTCHA,它集成了登录,注册,评论,Contact Form 7和bbPress。
更好的wp-security:消除WordPress安全性中的猜测。 iThemes Security提供了30多种方法,可以在一个易于使用的WordPress安全插件中锁定WordPress。
答案 3 :(得分:1)
部分取决于您的威胁模型。如果你想运行自己的博客 - 没关系,只需要保持升级。如果您正在保护患者数据,那么它就不安全了。很多人都抨击它,但据我所知,WP中没有任何大的安全漏洞。这是插件和错误配置。
您将成为人们进行偷袭的目标,在数千个试图丢弃垃圾邮件的网站上使用一个漏洞。这就是为什么保持更新的重要性。但总的来说,它适用于个人甚至企业用途。我肯定会推荐它,而不是试图自己动手。
有很多方法可以增加它的安全性:
答案 4 :(得分:1)
Wordpress因为它不安全。我个人认识,我管理着10多个网站,并且他们不断受到来自世界各地的流氓服务器的攻击。 (就像这个来自韩国的可爱个人http://www.ip-adress.com/ip_tracer/1.234.83.77)
我强烈推荐http://wordpress.org/plugins/better-wp-security/。 你不需要推出自己的安全,使用他们提供的东西,嘿,如果你喜欢它去专业!我与公司没有任何关系,但我的插件已经取得了很大的成功。
按照所有步骤操作,锁定所有内容,修复文件权限并交叉手指。如果有人想要进入,他们会找到一种方法。您只能尝试降低所有风险。
此外,如果您使用自己的Linux虚拟主机(rackspace / amazon / etc),我建议使用linux ufw。
sudo aptitude安装ufw
sudo ufw允许80
sudo ufw允许22
sudo ufw允许443
sudo ufw enable
sudo ufw status
最后一个建议fail2ban是一个很好的资源,不是wordpress direct,而是任何登录到你的服务器。它将锁定类似于Better WP Security的个人。
祝您好运,让我们知道您的决定!
答案 5 :(得分:0)
我在secure-wordpress处有一系列建议和插件。安装后最少的推荐插件快速列表:
ithemes security - 将/wp-login.php设置为不同的组成路径并阻止xml-rpc攻击向量
wordfence安全 - 自动禁止假爬虫,pingers,攻击者 - 不要忘记将你的IP地址列入白名单
数学验证码 - 添加到登录页面
wp slimstat - 跟踪访客
media vault - 锁定所有类型的附件
download manager - 跟踪下载
disable comments - 完全禁用评论
WP Plugins&Themes Auto Update - 让所有内容保持最新状态
答案 6 :(得分:0)
您必须使用安全插件来保护您的WP站点。有许多插件可用。我在这里提到了最好的5个免费插件 -
http://www.technolizers.com/5-best-wordpress-security-plugins/
攻击者首先检查wp-login.php URL。您必须将常规登录URL隐藏到不同的位置。您可以使用 wps hide login 插件。
切勿使用 admin,demo,admin123,demo123,abc 等用户名。这些是最常用的用户名。
使用强密码。您可以在此站点上完全免费生成强密码。 https://passwordsgenerator.net/
永远不要使用免费主题或。免费主题包含易受攻击的脚本,无法在不知情的情况下进入WP管理员。
在不断更新安全补丁时,始终更新所有插件和主题。
答案 7 :(得分:0)
对此没有确切的答案。由于其用途广泛,因此一直引起黑客的注意。如果您问我,wordpress既安全又不安全。鉴于并非所有网站所有者都知道要部署安全措施来保护其WordPress。
老实说,Wordpress安全更多地由网站管理员掌握,而不是由开发人员掌握。