前言:

细数从hexo迁移到wordpress博客以来,本站被攻击了不下30次,扫描器、提交xss代码的评论、暴力破解等等。虽然我想不明白一个小小的个人博客怎会劳烦大黑阔们频频出手,但我想说这就是个普通的博客站点,你所看见的就是全部,哪怕真的拿到shell,它也只是一台做cs服务器都会被封禁的国内机,师傅们有这个时间还不如打两个靶场挖两个漏洞。下面就以wordpress为例分享些我们日常能做的防护,不过人心各异,想搞你的人总有办法的,防君子不防小人罢。

一、CDN

CDN——Content Delivery Network,内容分发网络,最初设计是为了加速网络,它会将服务器的资源分布式缓存到各地的服务器,用户去访问时会选择最优的服务器呈现出来。同时他还能有效地隐藏服务器的真实ip,以及抗ddos攻击。一旦服务器的真实IP被破坏者们得到被攻击的风险会大大提高。 CDN的厂商推荐腾讯云和七牛云,Cloudflare虽然免费但大都针对国外站点,使用国内服务器会反向加速,七牛云每月有免费10g的额度,对于个人博客来说已经足够了,当然也可以选择腾讯云,价格同样可以接受

七牛云

腾讯云

具体配置文章就不过多叙述了,需要的话自行百度  

二、配置SSL

SSL是一种安全的套接层协议,配置SSL后使用https协议加密传输,防止重要信息被第三者窃取。ssl证书可以免费申请,在域名提供商处申请免费ssl证书,下载并配置到cdn或宝塔即可。 配置后开启强制https访问即可  

三、修改域名解析

对于一般没有国外访问需求的用户而言,我们可以禁止国外的ip访问,国外的访问流量基本上除了误入的就是代理 这种情况我们就可以在域名解析处添加一条,将国外的访问请求指向访问者自己,这样可以杜绝来自国外的攻击流量

四、wordpress安全插件

对wordpress站点进行防护也可以通过下载安全插件

1、loginizer

这是一款防止后台被暴力破解的插件,可以设定登录指定错误次数后自动上锁,免费版的功能足够使用,不过也有一个缺点,每次别人爆破过后自己想进入后台的时候也进不去,只能通过ssh连接服务器删除插件后在重新下载

2、Hide My Wp

网站正在运行WordPress的明显标志之一是使用默认的/wp-admin/和wp-login.php 网址,这个插件可以修改默认路径,比上锁相对来说更加方便

3、wordfence

这是一款可以扫描恶意文件的插件,普通版有检测文件更改,检测弱密码等功能

五、备份与恢复

永远没有万无一失的防护,更何况wordpress和插件本身也可能出现0day,定期备份是及时止损的手段。 在wordpress中可以直接导出全部内容,包括文章、页面、导航菜单等,点击这里的下载可以得到一个xml文件 导入的时候我们直接选中下载的xml文件上传即可 这里的图片我做了图床,所以导入的时候时可以将图片一并恢复的,如果是在媒体库中插入到文章的图片可能需要登录Gravatar账号重新手动插入一遍了,同时这个媒体库的图片浏览时加载体验极差,建议大家都做一个专门的博客图床保存图片。  

总结:

总的来说,尽可能加强容易出现问题的部分,另外可以对选择的主题进行一波漏洞检测,尤其是评论框和文章id参数等位置,像我一样开发能力弱的尽量不去使用自己写的主题。最最最关键的一点,一定要记得及时备份