WordPress安全防御攻略

起源

个人近期做了一个WordPress站点，目前处于内测阶段，虽然公网还没部署起来，但是先在这学习整理一下安全防护的问题。

第一：及时更新WordPress

由于33%的互联网都在使用WordPress站点，免不了被不怀好意的人盯上，所以官方对安全性非常看重，有专业团队监控并修复各种安全漏洞，可能会频繁的更新补丁，所以我们一定要及时的安装更新官方发布的稳定版本。这是官方设置的第一道防线。

第二：站点部署在可靠的主机上

不要贪图便宜使用不知名公司的主机，要防火墙没防火前，一堆漏洞，没什么专业的人维护。还有不要使用免费的主机，本身服务器维护成本不低，还给你免费使用，想想都不对劲儿。

如果被DDOS攻击，靠谱的主机方解决起来有实力。还可以使用CDN加速（付费），来隐藏真实IP。

第三：数据自动备份–主机镜像备份

养成不管做什么，都要有备份的好习惯，即便被黑了，核心数据还在，根就在，怕啥；

最坏的事故就是网站彻底做鸡了，还没备份，那心里的噶应感觉真是简直了。

推荐的还有服务器端快照备份和景象备份

数据备份插件推荐： UpdraftPlus 200多万的安装 当前更新时间2019年3月 （备份插件恢复的话不是100%）

有个简单的方法就是 在你的主机服务器上使用快照备份或者镜像备份。

第四：垃圾评论过滤

网站经常会收到一堆垃圾评论，你看就不正经，你看着像广告，但其实可能是XSS(跨站脚本攻击)，危害性不可小看

你可以使用 插件： Akismet，千百万人使用，保护自己的站点免受垃圾评论的困扰

第五：身份转换

当网站被人撸了后，应该不会闲的去告诉你，所以没事的时候可以使用技术手段定时检查一下网站的安全漏洞啥的。有不少专业工具可以扫描，Kali Linux就可以攻击WordPress，转换下身份可以自己攻击自己玩玩，又能增长知识还能提前发现安全隐患。

扫描插件推荐： WordFence  当前更新于2019年3月

第五：插件安全性

网站的漏洞可能来源于插件，所以插件尽量少装，能用代码替换用代码替换，再者安装插件的话从WordPress官方的插件中心下载，避免来源不明的插件。

第六：管理员帐号安全性要高

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

评论区留言领取哦）~

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-zlLjk2vJ-1712869808200)]