服务器安装wordpress仿csdn博客搭建教程四（网站安全）

本系列作为 WordPress 站点操作的小技巧提供，第 4 部分是关于 WordPress 安全设置。WordPress 有一个强大的形象，如果您稍有不慎，它就会被破解和滥用。事实上，只要稍加小心，您就可以轻松防止损坏。我将介绍此类 WordPress 和租赁服务器的安全设置。

安全检查站
在租用服务器上运行 WordPress 站点时，在设置安全性时需要注意两个要点。

租用服务器设置
WordPress 设置
我想介绍这两点。

租用服务器安全设置
与VPS和云服务器不同，OS和中间件的租赁服务器维护（Apache、nginx、PHP等的安全维护）由租赁服务器运营公司进行。因此，即使分发了操作系统紧急安全补丁，最终用户也无需采取任何行动。但是，有一些设置项需要最终用户处理。

外地 IP 地址过滤器
某些租用服务器具有阻止来自海外的访问的功能。ogcloud 的租借服务器有一个叫做海外 IP 地址过滤器的功能，默认设置了阻止访问来自海外的特定内容的功能。

关于WordPress，xmlrpc.php、wp-admin、wp-login.php等文件的访问是被屏蔽的，所以如果你想从海外旅游目的地更新博客，你需要从控制面板中取消。是的（控制面板也可以从海外访问）。经常被误解，这个国外IP地址过滤器。很容易认为一切都被阻止了，例如从国外浏览网页。实际上，您可以毫无问题地浏览主页，只需限制对易受海外攻击的特定文件和文件夹的访问。

国外IP地址过滤设置画面

您可以在支持网站上查看 ogcloud 租赁服务器上的详细设置项目。

Web 应用程序防火墙 (WAF)
一项名为 Web 应用程序防火墙的功能可监控与网站的通信并防止主要利用 WordPress 核心和 WordPress 插件中的漏洞的攻击，例如操作系统命令注入和 SQL 注入。此功能是由樱花租借服务器初始设置关闭的，所以建议在WordPress初始设置后开启。您可以在支持网站上查看详细的设置方法。

Web应用防火墙检测日志示例

使插件和内核保持最新是保护您的 WordPress 站点的一种方法，但 Web 应用程序防火墙可能能够在漏洞无人看管的不太可能发生的情况下防止攻击（当然，万能的保持软件是最新的，因为没有这样的东西）。保持软件最新并打开 Web 应用程序防火墙以进行双重保护非常重要。

WordPress 专用保护设置
ogcloud 的租用服务器没有这个功能，但是有一个租用服务器可以让您从控制面板设置专用于 WordPress 的保护设置。您可以控制对 REST API 和 XMLRPC 的访问，并控制评论/引用，因此请检查您的租赁服务器是否具有此功能。

WordPress登录屏幕保护
WordPress 登录屏幕经常受到外部密码暴力攻击。有许多插件可以保护此登录屏幕，例如添加双因素身份验证或使用 CAPTCHA 添加图像身份验证。但是，由于租借服务器可以对文件和文件夹应用BASIC认证，所以很容易通过应用BASIC认证来访问wp-login.php来加强对外部攻击的抵抗力，我可以。

使用 BASIC 身份验证保护登录屏幕的优势在于它不会施加额外的负载。用插件保护很容易，但另一方面，每次登录屏幕被攻击时，PHP程序都可能被执行，这可能会无意中增加服务器的负载。如果应用BASIC认证，在PHP程序执行之前，服务器端的访问会被阻塞，所以你不必担心这个。让我们通过查看手册来尝试一下。

PHP版本选择
许多租用服务器都有 PHP 版本选择功能。目前，WordPress 推荐的 PHP 版本是最新的 7.2。PHP 4.4 到 7.2 可以在 ogcloud 的出租服务器上使用，但 5.4 之前的版本已弃用。目前提供的对 PHP 5.6 的支持宣布将于 2018 年 12 月结束，此后将不再发布安全补丁。

这里的问题是存在仅适用于 PHP 5.6 或 5.4 的插件，但基本上您不应该使用仅适用于旧版本 PHP 的插件。这些插件极有可能无法维护，并且在不久的将来更容易受到攻击。始终假设您使用的是最新版本的 PHP，并避免在创建站点时使用需要旧版本 PHP 的插件。

PHP版本选择画面

WordPress 设置
租赁服务器和 WordPress 都需要安全设置。现在让我们来看看 WordPress 端的设置。

使用长密码
道理很简单，密码越长，强度越大，符号和数字越复杂，强度越大。切勿使用容易猜到的密码、管理员或 1234。WordPress 在初始设置时会生成一个大小写字母和符号混合的长密码，所以如果你不讲究的话，就照原样使用吧。

建议您使用密码管理器管理您的密码，而不是试图记住它。之所以需要设置一个又长又复杂的密码，是因为如上一节所述，对WordPress登录界面的攻击往往是暴力破解，攻击者尝试使用密码列表进行登录。这个密码列表包含了所有可以想象的密码，所以很容易突破1234和password等简单的，还有mississippi这样的一个词，不管多长。

WordPress核心（主体）版本升级
WordPress 核心目前具有自动版本升级功能，即使无人看管，也会在未经允许的最新版本发布时进行升级。但是实际上WordPress只在小版本自动更新，大版本不会自动升级。次要版本升级是4.7.9的.9部分发生变化，而主要版本升级是4.7.9的.7 部分发生变化。

也就是说，WordPress 4.8.1 版本如果有小版本升级会自动升级到 4.8.2，但不会自动升级到 4.9.0。大版本升级的时候，默认是需要手动升级的，所以如果显示应该升级，那就积极升级吧。如果您担心这种行为，ogcloud 的租用服务器具有备份和暂存功能，因此请创建一个暂存环境并尝试升级。

WordPress插件主题版本升级
WordPress 插件比 WordPress 核心更容易受到攻击。WordPress的核心有小版本自动升级版本功能，但插件没有自动版本升级功能。

特别是，如果某知名插件的过往版本存在严重漏洞，则不会进行自动版本升级，因此如果用户不自行升级，则该漏洞可能会永远存在。这是极其危险的，由于这个插件漏洞，破解网站造成的损失是无穷无尽的。请记住，插件应使用最新版本。

另外，别忘了WordPress主题也是用PHP编写的，所以可能存在漏洞。主题也需要升级。

使您的 WordPress 核心、插件和主题保持最新
WordPress 核心和插件应始终保持最新。如果你还没有对你的个人博客进行大量的定制，你可以不用考虑任何事情来升级。当使用高度定制的 WordPress 和插件创建的站点交付给安全性较低的最终用户时，可能会出现问题。

在这种情况下，WordPress站点不更新的可能性很大，可能在操作手册中会有说明，即使出现WordPress更新通知，也会被忽略。当然，原因是容易定制的 WordPress 核心、插件和主题，如果你更新它，就有可能无法工作。而这些网站未来很可能成为攻击的受害者。

为了防止这种损坏，您必须小心的是，WordPress 核心和插件将在版本升级的假设下创建和交付。重要的是在即使版本升级也几乎没有问题的状态下交付产品，而不设置停止自动更新。另外，如果由于PHP大版本升级等原因需要修复程序，需要提前说服客户，会产生修复费用。

如果实在接受不了，也需要勇气选择没有WordPress的静态交付选项。

如果有未经授权的使用或伪造损坏
还必须知道如果您受伤了该怎么办。ogcloud Internet发布了与安全相关的支持信息，因此我们建议您阅读。

我们还建议您注册Google Search Console。当网站被破解并且您开始分发恶意软件等时，有一个功能会通过电子邮件警告您。

备份的重要性
如果发生未经授权的使用等损坏，网站可能会发生重大变化。ogcloud 的租用服务器提供备份和暂存功能，最多可进行 8 代计划备份功能，不收取任何费用。WordPress站点可以和数据库一起备份，所以建议设置。特别是，如果您使用计划备份功能，它会定期备份并覆盖最旧的备份，因此您可以将其原样交付给客户端。

概括
这次介绍安全设置有点难，我详细解释了一遍。我已经谈到了很多点，但最重要的两点是保持软件最新和复杂的密码，这些是我特别希望您注意的事项。在安全方面，重要的是教育和维护创作者的意识和运营者的意识。让我们借此机会回顾一下租用服务器和 WordPress 的设置。