准备渗透测试

Question

我已经将WordPress用作重要项目的CMS。

IT挑战我在本地（WAMP）服务的内联网上构建这个基础WP安装，并尽我所能锁定它。然后，他们将使用企业级渗透测试软件攻击安装。

我只知道最少量的细节，但我提到了一些我反对的安全工具，并将与企业级软件一起使用：

1. Kali.org
2. darknet.org.uk
中的工具
3. Watabo

我做了什么： 擦除了所有基本的WP开箱即用数据，例如管理员用户名，更改的登录页面URL，删除了ajax调用，利用了iThemes Security插件中的所有选项（非常令人印象深刻）以及我自己的一些选项。 / p>

我的问题 高级关于保护WordPress运行2015主题及其PHP框架和数据库的建议。适当的htaccess配置和可能的陷阱。对任何高级方法的建议，以确保网站可能无法通过笔测试。

Answer 1

让网站完全无懈可击并不容易，特别是如果你选择了Wordpress。

您应该不断更新Wordpress网站。这意味着您必须遵循所有更新并立即安装它们。有时它不容易做，如果一切正常，数据库也不小。 Wordpress是世界上最受欢迎的开源CMS，很多人都希望破解它，编写在线搜索漏洞的抓取工具等。

提高任何网站安全性的简单步骤：

1. 关闭端口，如果您不使用它或安装防火墙，tcpwrapped等。
2. 永远不要使用FTP。改用SSH。
3. 不要在整个文件夹上制作权利777。将其设为555，当您需要上传某些图像或其他内容时，将权限更改为777或755（如果您通过ssh执行此操作）。完成工作后，将权限更改回555.如果不允许写入，则无法通过前端将有效负载或其他恶意代码上传到您的网站。
4. 检查您的网站是否存在SQL注入漏洞。
5. 不要使用简单的密码。您甚至可以每月更改密码。
6. 不要重复密码。
7. 定期更新您的软件。
8. 对于后端安全性，您可以使用一些IDS，例如Snort - https://www.snort.org/，但它并不容易正确配置。此外，您应该了解网络的工作原理，tcp / ip，攻击类型等等。
9. 如果您不了解信息安全性，请使用OpenBSD作为服务器操作系统。它的创建重点是提高安全性。
10. 使用一些网络扫描程序（例如nmap）并测试服务器是否存在漏洞。

最后：我不建议使用Wordpress来获得可靠的安全性:)并且说更多我需要看一下网站。