现在【zài】全球有超【chāo】过33%的【de】网【wǎng】站在使用WordPress程序,这意味着,WordPress已【yǐ】经是关注的焦点,那么会被更多【duō】的研【yán】究,读【dú】源【yuán】代码,测试网站【zhàn】安全性。
虽【suī】然WordPress程序【xù】一致在【zài】更新,但过一段时【shí】间WordPress官方还是会【huì】发布新版的【de】WordPress程序,基【jī】本上是小版本【běn】更新,主要是修复已经存在【zài】且【qiě】被验证过的安全【quán】问题。
而且经常【cháng】有使【shǐ】用WordPress程序【xù】的朋友【yǒu】问【wèn】,说网站手机版会跳转到一些乱【luàn】七八杂的网【wǎng】站,网【wǎng】站根目录及【jí】一些目【mù】录出现一些不【bú】规则【zé】的【de】目录【lù】及文件,在根目录的index.php和wp-config.php出【chū】现一些类似乱【luàn】码的代码。这些都表【biǎo】明,WordPress网站并没有想象中的【de】那么安全。
所以【yǐ】,打造一个安全,稳定运行的WordPress是一件非常【cháng】重【chóng】要的事情,Wopus做了这么【me】多年【nián】WordPress相关服务,今天写下这篇文章,把一【yī】些经验分享【xiǎng】给有需要【yào】的朋【péng】友。
1,确【què】保使用云主机;在【zài】过去几年这是不【bú】现【xiàn】实的,但是最【zuì】近两【liǎng】三【sān】年,云主机【jī】价格已经降【jiàng】低很多了,降低到可以接【jiē】受的价格了,另外【wài】就是,使用共享主【zhǔ】机,你可以【yǐ】确保自己的账户【hù】安【ān】全,但没办法保证共享主【zhǔ】机【jī】其他【tā】主机账户【hù】的安全,虽然会相互隔离,但这增加了【le】不稳定【dìng】的风险。
2,使用安全的域【yù】名【míng】DNS;域【yù】名DNS一致都是不被重视【shì】的,但确实网【wǎng】站稳定【dìng】运行的重要一环,有兴【xìng】趣的朋友可以【yǐ】去新浪【làng】微博搜索一【yī】下域名DNS故【gù】障,看看能搜【sōu】索出来多少【shǎo】信息。比【bǐ】较出名的【de】域名DNS服务商:一般【bān】域名注册商都提域名DNS服务,但这些并不是非常稳定,又或者不是【shì】很好用。dnspod.cn是【shì】一个,腾讯云【yún】使【shǐ】用的也【yě】是dnspod.cn,阿里云自己研发了dns,还【hái】开发了收费的DNS服务【wù】器【qì】。从【cóng】某一个【gè】角度来说,所有的域名提供商【shāng】都希望卖【mài】域名【míng】而不提供域名【míng】DNS服务,毕竟【jìng】优质的DNS服务是需要很【hěn】大【dà】投【tóu】入的【de】。
3,从正【zhèng】确的途径购【gòu】买【mǎi】或【huò】者下载使用WordPress主【zhǔ】体及插件【jiàn】。正确的途径【jìng】包含但不仅有:收费WordPress主题/插件作者官网,WordPress.org;尽量不要从第三方网站购【gòu】买主题(淘宝是最【zuì】大【dà】的源头,购买【mǎi】的主题没售后【hòu】,而且没升【shēng】级的【de】保证【zhèng】,没升级的保证就没有安【ān】全的保证)。
4,及时升级WordPress程序,主题及插件。
5,WordPress插件如果【guǒ】超过6个月【yuè】没【méi】更【gèng】新【xīn】,大概率这款插件作者已经不会再更新【xīn】了,所以,需【xū】要删【shān】除这个插件,然后找一个功能类似的插件替【tì】换。WordPress主题也有类似的问【wèn】题。
一个比【bǐ】较普遍的问题【tí】是:WordPress已经发布超过10年了。国内最早一批的【de】网站时2011/2012年制作的,而且【qiě】是展【zhǎn】示为主,这样【yàng】的网【wǎng】站有【yǒu】几个问题比较严重:
使用的主【zhǔ】题/插【chā】件大【dà】多数已经【jīng】没有更新,因为【wéi】日常疏于【yú】管【guǎn】理,WordPress程序也【yě】没更【gèng】新。但因为安全我呢提不得不更新,发【fā】现【xiàn】最新版的WordPress程序已经【jīng】不能运行之前使用的模板了,但【dàn】是模板也已【yǐ】经没更【gèng】新,所以,如果更细网站,相当于重新做一个网站【zhàn】。
但【dàn】不更新,网站随时有可能被攻击,所以【yǐ】,这样【yàng】的境地【dì】非常尴尬,但却是很多网站【zhàn】遇到【dào】的问题【tí】。
所以,一旦出【chū】现不兼容的情况【kuàng】,就要【yào】找【zhǎo】人看是否有修复兼容【róng】性的可能,如果没有,就要及时【shí】寻找【zhǎo】新的主【zhǔ】题了,所以,模【mó】板选择是一件非常重要的【de】事情。
6,安装WordPress安全插件,Wopus之【zhī】前推荐过【guò】一【yī】款WordPress安全插【chā】件 。
7,最后分享一下网站已经被植入恶意代码的修复思路:
a,如果是共【gòng】享主机,就要【yào】先联系【xì】主机【jī】提【tí】供商,问问是否【fǒu】是服务器的问题,如果不是,就可以开【kāi】始检查网站代码了;
恶意的代【dài】码一般分为【wéi】两种,一种是【shì】恶【è】意文件,这些【xiē】文【wén】件一般分为两类:一【yī】类是完全不规【guī】则的命名【míng】,一类是类【lèi】似WordPress系统默【mò】认文件,都是PHP结尾的,所【suǒ】以一定要检查清楚。
另外一种就【jiù】是恶意代码,会【huì】插入到已【yǐ】经存【cún】在的【de】系统【tǒng】php文【wén】件里,这个也是不规则的,但wp-config.php,首页index.php肯定会被插【chā】入【rù】恶【è】意代码。
b,接着继续检【jiǎn】查WordPress主题【tí】和【hé】插件,这两个是最容易的出问【wèn】题的,因为【wéi】主题和插件来源有不可控【kòng】,所以【yǐ】最容易出问【wèn】题,还【hái】是上面的一个原【yuán】则,尽【jìn】量选择来【lái】路正常的,插件一定要【yào】选择【zé】wordpress.org官方收录而且【qiě】一直【zhí】更新的。
c,当然WordPress程序是一定要更新到最新版的。
d,这里说回最开始,恶意【yì】代码如果非常【cháng】多【duō】的,比【bǐ】如使用安全【quán】插件处理也非常麻烦,比如要有几百个【gè】,这样【yàng】就要重装网站了,重装网【wǎng】站只需【xū】要备份一【yī】下内容:
接着就是重置主【zhǔ】机,重新【xīn】安装WordPress,导入数据库,上传检查后【hòu】的uploads目【mù】录,然后对比主题和【hé】插件【jiàn】,有【yǒu】问【wèn】题的检查就不【bú】要用了【le】,主题也是。
如【rú】果是独立主【zhǔ】机,也【yě】需要做一【yī】些事情,这个【gè】和选择【zé】主机商也有关系【xì】,Wopus以后【hòu】会写一篇独立云主机安全建议的文章。
整个过程就是这样【yàng】,如果恶意文件比【bǐ】较少,可【kě】以用安【ān】全插件扫描,对比,加【jiā】固【gù】或者删除【chú】。
从整个过程来源,养成良好的习惯,是更重要的事情。
版权所有:深圳市网商在线科技有限公司
