<kbd id='piitva'></kbd><address id='pvdmvo'><style id='wpzgoq'></style></address><button id='uedtlc'></button>

          当前所在位置:百度优化 > 注册送68元体验金优化新闻 > 优化最新动态 > > > 详细页面

          WordPress安全权威指南

          发布日期:2013-8-4 23:29:39 转载请写上本文链接地址:(www.bolin.org.cn

          如果你的在线营销工作,有很好的机会,对你的工作,工作,或将在一些点在WordPress站点。如果你有任何能力wordpress.org架设的工作,这个职位是你(多这种帖子不适用*。WordPress.com主办的注册送68元体验金)。
          脚本小子吸
          在黑客行话,一个脚本小子是黑客最低级的形式(使用术语黑客松),并依赖于共同的工具和脚本来发现和利用的薄弱和最常见的安全漏洞:蹩脚的密码,使用公共无线没有VPN,过时的插件,安全性低的主机,网络钓鱼攻击,和这种性质的其他事情。不幸的是,这些问题授予访问数量惊人的注册送68元体验金。
          除非你在一个大品牌站点的费用,你可能面临的安全问题,大部分将脚本小子的结果。
          好消息是这样的:如果你遵循本指南,你的注册送68元体验金应该接近无敌,你可以得到。(是公平的,没有什么是真正无懈可击,但这会让你很接近。)胡言乱语,拱顶安全是你。
          事不宜迟,让我们。我亲自带一四个层次的方法,WordPress安全:
          主机和服务器级别的安全
          当它涉及到保护WordPress,最好是从地面开始。当你的注册送68元体验金有一个托管公司,没有足够的安全意识,如果在一个服务器上的任何注册送68元体验金被黑客攻击,有一个机会,在同一服务器上的任何其他注册送68元体验金,可能是脆弱的。
          大量研究之后,我已经确定,最安全的选择主办WordPress是wpengine.com(和,方便,莫桑比克有亲振作他们,4个月的免费托管)。
          他们的努力投入安全是该死的diculous(严重)。我在我所有的WordPress注册送68元体验金在他们为我们说话的过程。他们并不便宜,但是你得到很多你所付出的。他们甚至有一个sucuri安全伙伴关系,所以如果你的注册送68元体验金被黑过,他们会免费修好。
          就是说,他们可能并不适用于所有人的完美。例如,有相当多的插件,他们不允许(许多性能问题,而不是安全问题)。大多数插件虽然有候补,所以希望这不是交易断路器。
          如果你要使用什么原因另一个主机,主机或需要在你自己的服务器上,有一些事情要记。╓P的引擎是大多数,如果不是所有的,这个):
          •运行安全,您的Web服务器和软件服务器上的稳定版本。
          •有服务器级防火墙。
          •让你的服务器在锁和钥匙。只有你的团队应该有机会。
          •从不,曾经访问一个不安全的网络服务器。
          如果你需要•FTP,通过一个有信誉的计划使用SFTP(我喜欢FileZilla)。
          •确保你的MySQL安装尽可能安全。
          •总是创建一个独特的每个博客安装数据库,并确保你的数据库表不开始wp_。
          •备份你的数据库和其他文件,尽可能多地,特别是在你做出改变之前(有很多选项,如codeguard和vaultpress)。
          •和,当然,确保你的密码是复杂和不用于其他地方。
          还有更多,但这些都是重要的。如果你想要更多的细节,去这里和这里。

          下一步在这个过程中涉及到的一些服务器配置规则。如果您有访问主服务器的配置文件,最好是在这个水平,做这些事情,但不是每个人都将拥有访问。因为这个原因,我将如何通过。经过一个真正的.htaccess文件。htaccess文件(注:你安装WP在编辑你的.htaccess文件。它是以服务器为中心的,所以我覆盖这里)。
          大胖子的警告:非常,非常小心,当更改。htaccess文件。如果你不使用代码非常舒适,最好是让你的开发商这样做。我个人使用的所有代码,是完全一样,但是我看到位工作在一些注册送68元体验金断别人(这完全取决于你的服务器配置,插件安装,等)。为了安全起见,让你的开发人员为你做这个。
          WordPress自动创建htaccess文件的一部分。不要把任何东西在WordPress部分。htaccess,它将被覆盖。有些事情需要去之前,WordPress。htaccess的部分,和一些事情后,以避免破坏东西。如果你不知道要去哪里,你可能不应该被编辑你的.htaccess文件。
          好的,这里…
          这第一个代码有助于防止一些Apache服务器错误,并激活重写引擎(这些命令的功能):
          # #包括在你的开始。htaccess文件# #
          + followsymlinks选项
          RewriteEngine on
          这一点关闭服务器的签名。这是一个“无名安全”的把戏,作为信息的一个黑客有关于您的系统少,很难得到。他们知道的越多,就越容易去寻找已知的漏洞:
          # #禁用服务器签名# #
          serversignature了
          有时,垃圾邮件发送者将URL的末尾追加自己蹩脚的查询字符串,尝试做各种讨厌的东西,而这一点代码可以否定它的301重定向特定查询字符串返回到典型的URL。
          编辑输入查询字符串| | |这里点包括你有问题的查询字符串,分离管(管是在正则表达式分离器)。这一点也无法阻挡垃圾邮件发送者使用的代码,并能解决问题吗?replytocom和其他垃圾的查询字符串:

          # #删除垃圾查询字符串# #
          < ifmodule mod_rewrite C>。
          query_string } { RewriteCond %进入|分离|查询字符串| |这里[NC]
          关键词:www。* HTTP / % { http_host } / 1美元?[ R = 301,L ]
          </ifmodule >
          而不是黑客特定的(虽然它肯定会),这一段代码将防止机器人没有用户代理到你的站点。只是改变了yourwebsite.com与您的实际URL之前,这在你的.htaccess:
          # #防止垃圾邮件机器人# #
          < ifmodule mod_rewrite C>。
          request_method RewriteCond % { }后
          request_uri RewriteCond % { }。WP评论后\ PHP *。
          http_referer RewriteCond % { }!com注册送68元体验金。。。* [或]
          { } ^美元http_user_agent RewriteCond %
          RewriteRule(。*)^ http://% { } /美元remote_addr [ R = 301,L ]
          </ifmodule >
          一个常见的黑客攻击的策略是一个SQL注入,这段代码可以阻止试图绝大多数:
          # # SQL注入块# #
          < ifmodule mod_rewrite C>。
          rewritebase /
          request_method RewriteCond % { } ^(头|微量|删除|轨道)[NC]
          RewriteRule ^(。*)$ [ F,L ]
          query_string RewriteCond % { } \ \ \ /。。[或]数控,
          { }启动\ query_string RewriteCond %。ini [或]数控,
          RewriteCond % { query_string }标签= [或]数控,
          RewriteCond % { query_string } FTP:[或]数控,
          RewriteCond % { query_string } HTTP:[或]数控,
          RewriteCond % { query_string } HTTPS:[或]数控,
          RewriteCond % { query_string }(\ | % 3E)[或]数控,
          RewriteCond % { query_string } mosconfig_ [ a-za-z_ ] { 1,21 }(= | %3d)[或]数控,
          query_string RewriteCond % { } base64_encode。\(*。* \)[或]数控,
          query_string RewriteCond % { } ^。*(\ [ | \ ] | \(| \)| |ê|”|;| \?| \ * | = $)。* [或]数控,
          query_string RewriteCond % { } ^。*(“|”|<| > | \ | { | |)。* [或]数控,
          query_string RewriteCond % { } ^。*(% 24和X)。* [或]数控,
          query_string RewriteCond % { } ^。*(% 0 | % % % | B | C | %d | %E | %f | 127。0)。* [或]数控,
          query_string RewriteCond % { } ^。*(全局|编码| localhost |回送)。* [或]数控,
          query_string RewriteCond % { } ^。*(请求|选择|插入|联盟|申报)。* [NC]
          http_cookie RewriteCond % { }!^ wordpress_logged_in_美元。* *。
          RewriteRule ^(。*)$ [ F,L ]
          </ifmodule >
          现在,有插件,可以限制登录尝试从任何一个IP地址的数量,但这并不阻止黑客使用大块的IPS破解你的注册送68元体验金(比如公共代理列表)。我已经经历了无数次的第一手的,所以下面的代码是一个救星,它只允许我的登录页面,可以从IP地址指定到我,从所有其他的IP块到这些页面的访问。
          只调整允许从线来反映你的实际IP地址(您可以让您的IP地址将谷歌从每个地方你连接到互联网,搜索“什么是我的IP”)。如果需要,改变登录文件名以及(wp-login.php是默认情况下,登录不,但我的注册送68元体验金使用的是因为一个插件我用)。
          或者,使它更容易在自己,去proxybonanza并支付10美元/月的你自己的一个独家代理IP,然后允许使用IP和IP每当你想访问你的注册送68元体验金。(proxybonanza有插件的Firefox和Chrome,使这一步非常简单。)只需更换下面的假IP与你的实际IP。如果你的IP的变化,你总是可以去修复通过FTP后。
          # #限制WordPress的登录页面,您自己的IP # #
          <文件> WP PHP登录。
          为了否认,允许
          否认一切的
          允许从192.168.1.1
          允许来自192.168.1.2
          <文件>
          <文件>登录
          为了否认,允许
          否认一切的
          允许从192.168.1.1
          允许从192.168.1.1
          <文件>
          还有一些没人但您都可以访问的文件,这段代码会阻止通过浏览器访问:
          # #块敏感文件# #
          所有指标的选择
          <文件>打开。
          为了允许,否认
          否认一切的
          <文件>
          <文件> HTML自述。
          为了允许,否认
          否认一切的
          <文件>
          <文件许可。txt >
          为了允许,否认
          否认一切的
          <文件>
          <文件>安装PHP。
          为了允许,否认
          否认一切的
          <文件>
          <文件> wp-config。PHP
          为了允许,否认
          否认一切的
          <文件>
          error_log <文件>
          为了允许,否认
          否认一切的
          <文件>
          <文件> fantastico_fileslist。txt
          为了允许,否认
          否认一切的
          <文件>
          <文件> fantversion PHP。
          为了允许,否认
          否认一切的
          <文件>
          如果你发现你的注册送68元体验金被击中多次攻击试图从指定的IP地址,您可以手动与下面的代码块的IPS。编辑否认从点包括违规的IP,每行一个IP如下:
          # #恶意IP封锁# #
          为了允许,否认
          否认1.1.1.1
          从2.2.2.2否认
          允许所有
          如果有人打你真的会从同一个IP或IP块,你可以重定向IP / IP块好rickroll视频(仅仅改变下面的IP来反映一个打你)。:)我这样做,我有几个惯犯的注册送68元体验金:

          # #块一定的参考域# #
          RewriteCond % { http_referer } Digg \。COM [NC]
          RewriteRule。*–[F]
          你也可以使用。htaccess文件以确保包含(这会造成真正的问题,尤其是多点,所以我要你去这里的细节)。你也可以做一些其他的非常先进的东西,像阻止某些国家和浏览器的语言,如果你选择。
          在所有的地方,你的。htaccess文件只是作为硬化可得到的。一。htaccess文件可以存在每个目录的一个注册送68元体验金上,并将其应用于在该目录下的一切。我编写的这个名单从许多不同的文章,有几位我自己在。在这些和其他类似的问题进一步阅读,看看这五个环节。
          最后一步是锁定您的文件权限,只有那些需要访问某些文件访问。你可以阅读如何改变文件权限在这里(小心这一过,因为它可以打破东西,特别的插件。)这是你应该测试非常精心为你实现它,最好是在一个沙箱或开发环境。
          这是为WordPress服务器级别的安全(不是真的-你可以写成一本书,这个东西-但这应该足够满足你的需要)。接下来,WordPress本身!
          你的WordPress安装
          一旦你有你的主机和服务器安全整理出来的,它的时间来安装WordPress,配备必要的安全插件。即使你已经有了一个现有的站点,不要跳过这部分!
          你要下载的WordPress安装文件直接从WordPress.org,去完成安装过程通过安全的FTP(SFTP)。许多主机提供一一触摸WP安装,这也不错。当你这样做时,要确保你选择安全的密码(在下一节中列出的),和不超过一个注册送68元体验金/件中使用相同的密码(你的数据库,FTP,WordPress管理,等。不同的密码)
          WordPress安装,下一步就是要选择一个主题,而不是任何的主题会做的。任何黑帽SEO的都知道,主题和插件一直联系的好方法,但在一个阴暗的和不道德的方式(记得mozcon 2011,当李察巴克斯特给现场演示了指向与套WordPress站点上运行一个主题/插件他创造了他的选择锚文本链接数以百万计?是啊。
          因为很多潜在危险的东西可以隐藏在里面的主题,这是一个好主意,使用或购买一个安全的,干净的主题。这是默认的主题WordPress.org还是很安全的,但这里有干净的主题其他几个选项:选项1选项2。为了获得一个更好的感觉,为什么这是如此重要,有一个伟大的视频在这里。
          如果你已经安装的主题,你可能要运行一个安全扫描,或有一个安全的开发者浏览主题代码。你有任何插件同上。
          当你选择你的主题,下一步就是开始选择插件。当涉及到插件,你需要像你一样的小心和挑选一个主题。即使是最流行的插件可以包含漏洞,开发者可以有时是缓慢的修复(或者把他们自己)。因为这个原因,我建议使用尽可能少的插件来完成工作。就是说,从安全的角度来看,这是插件,我高度推荐:
          •更好的WP安全-这是一种安全选项。它处理各种覆盖在这篇文章中的策略?梢杂肫渌寮闹氐,所以要小心。免费。
          •限制登录尝试-说什么,和一种惊人的方式阻止强力的黑客攻击的注册送68元体验金上。免费。
          •评论-伟大的方式之前,它曾经触动你的注册送68元体验金很多垃圾过滤。如果你的注册送68元体验金是很容易的垃圾邮件,也很容易破解,所以让它硬目标在各个战线上。支付。
          •sucuri安全-当你支付这项服务,你会得到一个插件安装在您的注册送68元体验金上,有助于监测和硬化过程。它与其他插件虽然重叠,如限制登录尝试和更好的可湿性粉剂的安全,所以你不需要使用所有的一次。支付。
          •codeguard -伟大的备份服务,让您轻松地回滚如果你砍死。同时,人们不回来的东西几乎和他们应该经常这样做,它是方便的自动。支付。
          首先•- CloudFlare CDN,而且这么多。它有一些很好的安全功能,内置,并有免费和付费的版本。
          •谷歌认证使两因素认证的WordPress的,这是可怕的。我用两个因素,无论它所提供的,因为它的岩石。免费。
          •隐身登录页-你不能破解你找不到的。这个插件隐藏您的登录页面,而无需编辑.htaccess文件。免费。
          •WordPress SEO的yoast -这不仅有很好的SEO的好处,但它可以让你轻松地编辑你的.htaccess文件。在WordPress的管理,这是非常有用的。免费。

          如果您选择使用WP引擎为您举办,要知道他们是什么他们做和不允许插件很严格。我发现这很烦人,我了解他们的原因,我真的很喜欢一些插件,他们不允许。
          如果你有未使用的主题或者插件安装,我建议你删除它们。只是让他们安装在您的注册送68元体验金上,即使他们不活跃,可能带来的问题。您还应该确保让WordPress,你的插件和主题的最新。经常更新解决已知的安全问题,其中第一件事一个聪明的黑客看来是过时的插件和主题,他们可以利用。
          当你建立了你的注册送68元体验金,你也应该密切关注什么是不可到达的爬虫,和你的注册送68元体验金像处理登录信息,密码,密码丢失/密码重置,安全问题等,有一个亚组的黑客称为黑客谷歌,谷歌一直致力于表面信息发现和索引,它可能不应该(伟大的文章)。使你的robots.txt文件块应阻止事情的有效利用是高度推荐。
          而注册送68元体验金的安全是没有完成,这将解决的问题,你可能会遇到的绝大多数。记住,没有什么是无法破解的,所以我们的目标是简单地让你的注册送68元体验金比它的价值的黑客大多数更麻烦。
          个人安全
          任何像样的黑客都知道,安全的人的因素是通常在最薄弱的环节。安全意识很强的网络管理员或主机可以通过普通的密码了(爱,性,秘密,上帝,把地球。。
          人类的大脑喜欢例程,模式,和舒适区;和黑客利用地!如果你想对这个话题的一个迷人而可怕的读取,看看凯文Mitnick的书欺骗的艺术。
          这里是我的七个人的最佳实践锁定了人的因素:
          1。不要用比其他任何一个安全的VPN接入WiFi热点。我个人使用斗篷作为我的VPN(iOS和Mac只在这一点上),但是有很多选择。你会震惊于什么可以找到简单的数据包嗅探(Firesheep就是一个很好的例子,可能会让你很不舒服)。当你使用WiFi网络,担保或抵押,在网络可以访问你的交通的人(如果你所有的信息是加密的,你要安全得多,这就是为什么你应该使用一个安全的VPN在任何共享的网络,即使它是一个“安全”的共享网络)。如果你在家里或工作的无线网络,使密码强,使用WPA2,并设置你的路由器不显示SSID(这是一个“安全的默默无闻的“战术)。
          2一个防火墙。一个好的防火墙是一个很好的防御工具。在一个完美的世界,我建议有一个软件和硬件防火墙,但并不是每个人都是可行的。至少,你需要一个软件防火墙(毛豆,ZoneAlarm,等)。它可以是一个位的侵入,取决于您的设置,但它很容易定制和一个很好的工作。你应该对每一个桌面/笔记本电脑/服务器防火墙。
          看,你去那里,一个好的防火墙。没有太多太旧…
          获取一个杀毒软件3。病毒和恶意软件是一角钱一打,这种机会是很好的,你有至少一个在你的机器上已经。如果一个黑客进入你的电脑,没有任何安全的地方可以保护你的WordPress安装(更不用提你的电子邮件,银行帐户,等。)我试了好几年,而我偏要avast。它是市场上最资源密集的AV程序(不会陷入瘫痪你的机器),但也非常彻底(那里有免费版本,但我要为各种原因的全套)。
          4保持你的硬件的物理安全。如果有人能得到你的机器,它肯定会把键盘记录程序。如果你没有密码保护您的机器,还有各种其他的快速和肮脏的东西,他们可以做的一样。如果你是使用桌面,和它在同一地区工作,定期检查您的USB端口和所有的电线运行到机器中任何不寻常的东西。这是罕见的,但它发生。说真的,你应该看到安全谷歌在其服务器类型!

          使用好的密码,不要重用在多个站点的密码。这就是懒惰的人元真进场。我们确实不擅长记住晦涩的密码,所以我们倾向于坚持的东西,我们会记。ê娇兆晕蓝,12345678,qwerty12345,等)。这是不好的,因为常见的密码让黑客很容易,特别是如果你使用同一个密码,多个站点(不做,永远)。
          操作系统的密码很容易与彩虹表裂,所以确保你的操作系统的密码是长期(至少15个字符)和复杂的(大写和小写字母,数字和符号,避免常见的替换像“一个或8个B,等)。这是一个很酷的文章,解释了为什么复杂的密码,使事情更加困难的黑客。
          感谢多年来对一些非常严重的安全事故,很容易找到大量的使用相当大的注册送68元体验金的密码列表(RockYou是一个很好的例子,32000000密码泄露)。用那样的列表,你可以选择一个WordPress站点和尝试随机密码将直到你得到一个打击。虽然到目前为止,高效,脚本小子特别喜欢这蛮力的方法。
          我发现有几乎牢不可破的密码的最简单的方法是使用类似的工具或使用LastPass,1Password。他们允许你生成一个随机的,长的,极其复杂的每个注册送68元体验金的密码,然后加密和存储他们都与一个主密码。在桌面和移动应用程序可用的(有些甚至包含一个安全的浏览环境),所以你可以很容易地从你的各种设备的登录,并且你要记住一个密码来访问它们(对一切神圣的爱,至少使一个密码复杂)。
          不要写,打印,或存储您的密码在您的计算机上的文本。真的。
          5。两因素认证保护您的电子邮件帐户(并保护您的手机也)。如果一个黑客无法进入你的站点通过密码,他们的下一个技巧通常试图破解你的电子邮件帐号,所以他们可以做一个复位。如果您的电子邮件提供商提供两因素认证,使用它。
          如果你这样做,确保您锁定您的手机(使用一个真正的密码,不是4位的品种),真的很努力不失去它,因为这是现在您的帐户的关键(和,在一个完美的世界,不要把电话号码在线,仅仅是安全的。如果一个注册送68元体验金都需要一个电话号码,让谷歌语音号码,你只使用了。)你可能也应该有一定数量的失败尝试后,把你的手机擦,并配置远程擦除选项以及,如果可能的话,你的手机现在是您的帐户的关键。
          如果你的帐户提供商问你的安全问题,使用助记拿出一个完全独立的回答(例如:这个问题“你高中的吉祥物是什么?”我想,我真的恨我,CS高中的老师,然后利用老师的名字作为回答。)这将有效中和试图数据黑客你的社会概况可以猜到你的安全问题。
          6。学会识别和避免网络钓鱼攻击。无论是通过电子邮件或注册送68元体验金,网络钓鱼攻击的是一个安全漏洞的最常见的原因(你可能听说过黑客的AP推特帐户的惨败,导致大量的股票下降-是的,这是由于一个钓鱼攻击)。
          当它来避免这类攻击,我生活的三条规则:
          如果我必须登录到一个注册送68元体验金,我只浏览该注册送68元体验金通过我的密码管理器(这让我不小心爱上一个拼写错误的URL的网络钓鱼攻击,就像如果我是facebool.com型而不是脸谱网。com)。
          从不,曾经点击电子邮件中的链接,然后登录到任何页面弹出(见最后一条规则)。事实上,我不点击电子邮件中的链接了。我的右键,复制链接的位置,然后把它粘贴到谷歌,仅仅是安全的。如果它看起来不正确,或结果包括垃圾的东西,我停在那里。
          从不,曾经打开从你不认识的人和信任一个附件(即使你知道并信任他们,把它放入一个文件夹上运行病毒检查打开它,或打开它在一个沙箱第一仅仅是安全的程序)。如果有人在你自己的联系人列表获取他们的电子邮件黑客攻击,黑客开始爆破电子邮件给那个人的联系人列表来扩大自己的钓鱼池。

          最后但并非最不重要的,不断的勤奋锻炼
          当涉及到WordPress安全,你不能设置它和忘记它。
          如果你把所有这一切都在的地方,然后无法监测和更新和改变的东西,随着时间的推移,你会这么坏的形状好像你从来没有做过任何这开始。
          要确保你所有的努力都没有浪费,我推荐一七步清单来维持你的WordPress站点的警惕:
          1保持WordPress更新。我在我的注册送68元体验金,所以我留意这个日报。WordPress不太经常更新的核心,所以我建议您检查每月至少是安全的。你可能想让你的团队做这,更新有时会打破东西。
          2保持你的插件更新。插件是一个WordPress的最脆弱的部分,不仅对外部的黑客,但是恶意或贪婪的程序员。虽然我们已经覆盖只使用声誉好的插件,也一定要保持这些插件更新,万一脆弱性是在更新解决。再次,你可能想让你的团队做这,更新有时会打破东西。
          3监控您的服务器的日志文件。这可能是大多数人矫枉过正,除非你已经发现了一些可疑的。你的服务器日志中会给你的一切,打你的站点的细节,人类或机器人,当从IP地址。你可以在这里找到一些很棒的东西,所以保持一个眼睛上时。(AWStats是这样的。一个很好的免费工具)
          4可湿性粉剂访问监控。你可以使用一个插件一样简单的登录日志监控注册送68元体验金的登录细节。做这个。
          5文件的变化监测。一个插件的codeguard将您发送电子邮件时,您的WordPress文件被更改。这是一个黑客的预警系统,值得投资。它还允许你滚回的变化,如果需要的话。
          6定期更改密码。我建议每3-6个月,但每年一次就足够了如果你使用一个足够复杂和独特的密码。
          7。保持你的防火墙和杀毒软件更新新的威胁不断被发现,所以重要的是要保持所有的更新。过时的安全软件是一个脆弱的。
          有字面上的书值得这方面的资料(你刚读的一种),所以我会留在这。如果你遵循这些准则,使建议的改变,你的WordPress站点(和所有您的其他帐户为此事)将可能是安全的。

               满网排名烦,一把辛酸泪。都云优化难,谁解其中味!杜琶,优化难》