📜  如何进行wordpress安全审计?

📅  最后修改于: 2021-10-19 06:18:49             🧑  作者: Mango

WordPress 是一个免费的开源内容管理系统 (CMS) 框架。它是最近使用最广泛的 CMS 框架。 WordPress 是一个内容管理系统 (WCM),即它是一种以最佳方式组织创建、存储和展示 Web 内容的整个过程的工具。 WordPress 作为一种改进工具开始了它的旅程,以增强日常写作的常规排版。

WordPress 站点的安全审计非常重要,如果任何用户将一些稍微重要的东西留在某个地方,那么攻击者可以轻松登录您的站点。有时,您使用了这么久的插件,也可能通过打开安全问题来背叛您。要忽略此类问题,您至少应该在一年内使用安全审计。如果您的网站包含非常机密的信息,例如 ATM 的密码或网上银行信息或某种可能造成巨大损失的数据,那么您应该每季度执行一次。 WordPress 安全审核让您准备好防止对您网站的成功攻击。在那之后,有一些问题是您无法保护您的站点免受这些攻击,但安全审核使您和您的站点免受常见威胁的侵害。

检查您是否安全:

  • 单个管理员用户:如果您是唯一一个使用管理员用户名登录您的站点的管理员用户,那么这是一件好事。如果没有,那么您应该通过创建新用户并将内容分配给新用户来删除其他管理员用户,您可以删除该第二个管理员用户。例如,多个用户通过管理员用户名登录意味着有人试图通过蛮力攻击访问您
  • 要求强密码:通知所有管理员使用强密码,对于任何黑客来说都难以解码,而不是使用 WordPress 2-factor-Authentication。此 2FA 需要两件事以管理员身份登录站点,用户无法通过输入密码登录,他们将在注册手机号码或注册邮件上收到代码。因此,如果任何攻击者解码密码仍然无法登录,因为攻击者不知道您的邮件或 ph 中收到的代码,并且您将收到有人试图登录您的站点的提示。
  • 删除未使用的插件:我们都需要不同类型的插件,我们网站的主题 o 使其更有用。有时很少有插件过期,我们没有注意到这些插件的开发人员停止了安全工作,我们现在甚至没有使用这些插件。然后这些插件可能对您有害,您站点的攻击者可以从这些插件中获取信息。所以避免这个问题的最好方法总是删除那些不再需要的插件。
  • 更改 WordPress 盐和密钥:所有 WordPress 都使用存储在本地浏览器中的信息作为 cookie,这些 WordPress 盐和密钥已添加到 WordPress 以更好地加密和保护用户的信息。当您进行 WordPress 安全审核时,请检查wp-config。 PHP文件以确保您已更改盐和键。您也可以为此设置提醒。
  • 删除非活动用户:如果您创建了一个用户,该用户不再在您的站点中工作,那么这个非活动用户与未使用的插件一样有效,那么您应该删除该用户,攻击者可以轻松地通过该用户入侵您的站点。
  • 使用更新和原始软件:使用原始和更新软件可确保您和您的站点安全。盗版软件可以在黑客可以入侵您网站的任何地方泄露您的信息。过时的软件与未使用的插件一样危险,它们无法保护新的攻击者,黑客总是在提高他们的黑客技能,因此也需要更新以保护您自己和您的网站。
  • 保持 WordPress 备份解决方案:保持备份总是让您感觉更安全,如果黑客以某种方式入侵您的网站并进行您无法识别的更改,那么黑客总是会为您的网站而来,那么此备份将发挥巨大的作用。

审核 WordPress 网站的提示:

  • 第 1 步:自述页面“domain/readme.html” 。在此页面上,您会发现一些有趣的链接,如果管理员没有禁用它,您可以将其报告为漏洞。
  • 第 2 步:使用 WordPress 版本“domain/licence.txt”获得许可。在这里您会找到 GNU 许可证,通过它您可以找到 WordPress 的版本。
  • 第 3 步: WordPress 的示例配置文件“domain/wp-config-sample.xml”。 PHP” 。这将为您提供 WordPress 的示例配置文件,其中包含有关后端的各种信息。
  • 第四步:安装页面“domain/wp-admin/install. PHP” 。这将为您提供网站的安装页面。
  • 第 5 步:升级文件“domain/wp-admin/upgrade.txt”。 PHP” 。这为您提供了升级数据库的页面。
  • 第 6 步: WordPress API 路径“domain/wp-json”“domain/wp-json/wp/v2/users/” 。这将为您提供网站使用的所有端点的详细信息。

这些是您在审核 WordPress 网站时需要注意的几件事。这可以为您提供或多或少的赏金,具体取决于漏洞。