很多客戶 WordPress 建站一段時間後, 總是不知為什麼網站被掛馬,為什麼網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實,入侵不簡單,簡單的是你的網站的必要安全措施並未做好。
一:掛馬預防措施:
1 、建議使用者透過 ftp 來上傳、維護 WordPress 網頁,儘量不安裝 asp 的上傳程式。
2 、對 asp 上傳程式的呼叫一定要進行身份認證,並只允許信任的人使用上傳程式。這其中包括各種新聞釋出、商城及論壇程
序,只要可以上傳檔案的 asp 都要進行身份認證!
3 、 asp 程式管理員的使用者名稱和密碼要有一定複雜性,不能過於簡單,還要注意定期更換。
4 、到正規網站下載 asp 程式,下載後要對其資料庫名稱和存放路徑進行修改,資料庫檔名稱也要有一定複雜性。
5 、要儘量保持程式是最新版本。
6 、不要在 WordPress 網頁上加註後臺管理程式登陸頁面的連結。
7 、為防止程式有未知漏洞,可以在維護後刪除後臺管理程式的登陸頁面,下次維護時再透過 ftp 上傳即可。
8 、要時常備份資料庫等重要檔案。
9 、日常要多維護,並注意空間中是否有來歷不明的 asp 檔案。記住:一分汗水,換一分安全!
10 、一旦發現被入侵,除非自己能識別出所有木馬檔案,否則要刪除所有檔案。
11 、定期對網站進行安全的檢測,具體可以利用網上一些工具,如安大互聯安全檢測平臺。
二:掛馬恢復措施:
1. 修改帳號密碼
不管是商業或不是,初始密碼多半都是 admin 。因此你接到網站程式第一件事情就是 “修改帳號密碼” 。帳號密碼就不要在使用以前你習慣的,換點特別的。儘量將字母數字及符號一起。此外密碼最好超過 15 位。尚若你使用 SQL 的話應該使用特別點的帳號密碼,不要在使用什麼什麼 admin 之類,否則很容易被入侵。
2. 建立一個 robots.txt
Robots 能夠有效的防範利用 SEO 站群搜尋引擎竊取資訊的駭客。
3. 修改後臺檔案
第一步:修改後臺裡的驗證檔案的名稱。
第二步:修改 conn.asp,防止非法下載,也可對資料庫加密後在修改 conn.asp 。
第三步:修改 ACESS 資料庫名稱,越複雜越好,可以的話將資料所在目錄的換一下。
4. 限制登陸後臺 IP
此方法是最有效的,每位虛擬 WordPress 主機使用者應該都有個功能。你的 IP 不固定的話就麻煩點每次改一下咯,安全第一嘛。
5. 自定義 404 頁面及自定義傳送 ASP 錯誤資訊
404 能夠讓駭客批次查詢你的後臺一些重要檔案及檢查 WordPress 網頁是否存在注入漏洞。
ASP 錯誤嘛,可能會向不明來意者傳送對方想要的資訊。
6. 慎重選擇網站程式
注意一下網站程式是否本身存在漏洞,好壞你我心裡該有把秤。
7. 謹慎上傳漏洞
據悉,上傳漏洞往往是最簡單也是最嚴重的,能夠讓駭客或駭客們輕鬆控制你的網站。可以禁止上傳或著限制上傳的檔案型別。不懂的話可以找你的網站程式提供商。
8. cookie 保護
登陸時儘量不要去訪問其他站點,以防止 cookie 洩密。切記退出時要點退出在關閉所有瀏覽器。
9. 目錄許可權
請管理員設定好一些重要的目錄許可權,防止非正常的訪問。如不要給上傳目錄執行指令碼許可權及不要給非上傳目錄給於寫入權。
10. 自我測試
如今在網上駭客工具一籮筐,不防找一些來測試下你的網站是否 OK 。
11. 例行維護
a. 定期備份資料。最好每日備份一次,下載了備份檔案後應該及時刪除 WordPress 主機上的備份檔案。
b. 定期更改資料庫的名字及管理員帳密。
c. 借 WEB 或 FTP 管理,檢視所有目錄體積,最後修改時間以及檔案數,檢查是檔案是否有異常,以及檢視是否有異常的賬號。
網站被掛馬一般都是網站程式存在漏洞或者站群伺服器安全效能不達標被不法駭客入侵攻擊而掛馬的。網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。
