前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >如何构建安全的 WordPress

如何构建安全的 WordPress

作者头像
Denis
发布2023-04-13 11:04:17
4120
发布2023-04-13 11:04:17
举报
文章被收录于专栏:WordPress果酱

构建安全的 WordPress 涉及到很多方面的东西:

首先要及时修补服务器的安全漏洞,阿里云这一方面就做的很不错,主机有任何安全问题或者有新的漏洞,都会第一时间通知。

做好做一步之后,不要给 WordPress 设置过于简单的管理员密码,比如123456,大部分安全的问题,都是密码过于简单造成的。

如果上面两步都处理完之后,我们还需要从程序方面加强 WordPress 的安全性,今天这篇文章就把「WordPress 果酱」这方面的文章总结一下:

防止用户名暴露

因为默认情况下 WordPress 用户的 user_nicename 和 user_login 是一样的,这样只要通过下面三个方法猜测到 user_login,然后就可以暴力破解。

  1. 作者的文章列表链接是:https://blog.wpjam.com/author/superdenis/,其中的 superdenis 是user_nicename
  2. 在 body 的 class 中,如果当前用户的作者页,也会出现用户的 user_nicename
  3. 和 comment 的 class 中,如果留言的用户也是当前站点的用户,也会出现用户的 user_nicename

怎么处理呢?

修改 user_nicename,「WPJAM #用户管理插件#」在 WordPress 后台提供修改的 user_nicename 的功能

或者通过自定义代码设置使得:user_login 不出现在作者的文章列表链接中,也不出现在 body_classcomment_class 中。具体的代码参考:WordPress 安全第一步:防止用户名暴露

隐藏登录失败的错误信息

默认情况下,在登录 WordPress 的时候,如果输入的用户名不存在,WordPress 会报「未知用户名」的错误,如果用户名正确,密码错误的话,WordPress 会报「密码不正确」的错误:

这样是存在一定的安全隐患的,首先让暴力破解知道快速定位用户名,确定了用户名,只需要给他时间,就可以开始暴力破解了。所以最好统一改成:「用户名或者密码错误」的错误信息,让猜去吧。

限制登录次数,防止暴力破解

WordPress 的一个重大的安全隐患就是 WordPress 没有防止暴力破解的功能,在登录界面,用户可以不停的登录尝试输入账号密码,直到暴力破解,如果密码不够复杂,破解的人如果被使用软件扫描的话,那么很快就会被破解的。

我们可已通过 Memcached 来记录失败登录的次数,超过一定次数之后就限制登录,需要等待一段时间之后才能再次登录。

「WPJAM 用户管理插件」都已经整合以上功能,加入知识星球即可免费下载。

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 防止用户名暴露
  • 隐藏登录失败的错误信息
  • 限制登录次数,防止暴力破解
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档