惡意程式掃描/阻擋登入次數
有時安裝到不錯的外掛,但不確定外掛是否有惡意程式,就可以使用WP外掛進行掃描”Wordfence Security“
另外一到駭客最喜歡攻擊的就是登入頁,若要強化登入頁可使用WP外掛”iThemes Security“,加入二次驗證”Two-Factor Authentication”以及Google驗證碼”Google reCAPTCHA“
登入次數阻擋外掛”Wordfence Security“也有支援,甚至可開白名單IP
定期備份
定期備份資料庫與網站檔案,發生無法預期的問題,至少可以還原
備份方式有很多種方式,使用主機商備份工具或用WP外掛都可達成
比較推薦的WP外掛”UpdraftPlus WordPress Backup Plugin“
更換你的大門口 “/wp-admin”
只要你使用WordPress架設站台,預設登入都是”網址/wp-admin“,等於你的大門直接公開出來
有心人士也最愛攻這個頁面,如果有裝WP外掛”Wordfence Security“每天被嘗試登入的訊息非常的多
除了用比較工程的方式調整”.htaccess“以外,也可以使用WP外掛”Change wp-admin login“
可以將預設”/wp-admin“頁面更換成你自己指定的網址名稱
關閉 XML-RPC 服務
如果你沒有使用外部工具(Windows Live Writer、WordPress Mobile App)在編輯或發佈文章的話,建議把該功能關閉,避免惡意的攻擊,例如嘗試登入攻擊。
更新最新版本WP與外掛
會釋出更新包表示一定有災情,因此若你長期不更新,運氣不好可能會被有心人士攻擊
定期要檢視外掛是否長期不更新,可能就要考慮是否要找替代方案
不明的佈景主題或外掛也不要隨意安裝,裡面可能被藏惡意程式你也不知道
另外,除了WP與外掛要更新以外,也要注意架設的伺服器是否也有更新最新版
強化.Htaccess
若你會一點伺服器組態設定,設定”.Htaccess“一定比安裝任何WP套件更有效
“.htaccess”的讀取權限也要注意,不要因為懶惰直接開”777″,建議權限開”644”
保護好你的”WP-Config.php“設定檔,以及”/Wp-Content/“目錄