[2

介绍

网站安全至关重要，尤其是面对越来越复杂的网络威胁。本指南提供了实用的步骤，以强化您的WordPress网站免受常见的漏洞。

避免使用盗版软件：切勿使用未经许可的主题或插件；他们经常被妥协。 持续支持的可靠来源至关重要。对于企业级项目，请考虑提供可靠安全和支持的信誉良好的提供商的高级主题。

• 优先确定良好的主题：选择具有主动开发和常规更新的主题。这样可以确保访问关键的安全补丁。

• 使用WordPress作为带有NextJS和WP REST API等框架的无头CMS探索。此体系结构可以增强性能和安全性。

2。实施可靠的安全惯例

• 保留WordPress Core，主题和插件已更新为已知漏洞的修补程序。

使用WPSCAN之类的工具（用于WordPress特定漏洞），Burpsuite（用于标题和Cookie检查）和NMAP（以识别和保护SSH或WP-CLI等开放端口）。

谨慎管理SSH访问并谨慎管理WP-CLI，以防止未经授权的访问。

• 取消不必要的API端点（例如，））以最小化攻击表面。

• 数据泄漏预防：

  定期扫描内容，以意外暴露敏感信息（例如用户名或凭据）。

3。增强保护的速率限制

• 限制用户请求以防止滥用和减轻DDOS攻击。 合理的限制可能是每分钟500个请求，并采取措施阻止流量过多。 DDOS攻击插图：

  以下脚本说明了一个简单的脚本如何压倒服务器：
• [2 var target =“”; //添加目标URI var uri =“/index.php？”; var pic = new Image（）; var rand = Math.floor（Math.random（） * 10000000000000000000000）; 尝试 { pic.src =“ http：//“ target uri rand” = val”; } catch（错误）{ console.log（error）; console.log（“错误：”，uri）; } } setInterval（floodimagesxyz，10）;

  采用速率限制和诸如CloudFlare之类的服务可以有效地减轻此类攻击。 4。利用硬化工具和技术

• 限制文件上传：禁用php文件上传，如果不是降低脆弱性风险的必要条件。

实现服务器端的安全措施，以地址文件权限和脚本执行漏洞。

5。页面构建器注意

• 使用页面构建器（Divi，Elementor，wpbakery）时，会暂时禁用安全工具，该工具阻止PHP在编辑过程中上传以避免冲突。 6。自定义代码安全性最佳实践

function floodImagesXYZ() {
  var TARGET = ""; // ADD TARGET URI
  var URI = "/index.php?";
  var pic = new Image();
  var rand = Math.floor(Math.random() * 10000000000000000000000);
  try {
    pic.src = "http://"   TARGET   URI   rand   "=val";
  } catch (error) {
    console.log(error);
    console.log("Error in:", URI);
  }
}
setInterval(floodImagesXYZ, 10);

利用开发工具：采用诸如插件检查插件，envato主题检查器，PHPUNIT和PHP代码美化器之类的工具来维护代码质量和安全性。

数据消毒和非CE验证：
• 总是消毒用户输入和验证nonces，以防止安全漏洞。
  7。 Web应用程序FireWall（WAF）实现

• 安装像Wordfence这样的WAF来过滤恶意流量，防止蛮力攻击并防止常见的Web应用程序漏洞。

主动监视：

8。利用CloudFlare进行增强安全性

• 9。常规备份和灾难恢复

• 维护文件和数据库的最新备份。

  恢复计划：
制定一个清晰的恢复计划，以便在事件中快速恢复您的网站。

• 10。两因素身份验证（2FA）

11。 recaptcha用于增强安全性

• recaptcha v3用于登录：使用recaptcha v3进行登录页面，以防止bot攻击，而不会影响用户体验。

• recaptcha v2用于表格：

结论

虽然没有系统完全无敌，但多层安全方法可大大降低风险。 积极的监控，定期更新和强大的备份策略对于维护安全的WordPress网站至关重要。 请记住，黑客是出于经济利益的激励，使更大，更明显的业务主要目标。 [2