Skip to content

低端谈话——wordpress的安全性(致那些托管网站或者托付生命给我的朋友)

  • by
  • IT

阅读本文大约需要: 2 分钟

 

[LowEndTalk]是一个混低端站长的社区。

那些没有钱的私人站点管理员,大多数混迹于此,等待黑五的折扣或圣诞季的优惠。

近来,在LowEndTalk上有一位看起来比众人更Low的人问了一个贱贱的问题:

What's wrong with WordPress?

于是,一大堆站长们回答说,因为WordPress 太流行了——世界上75%的网站用php脚本,世界上25%的网站是WordPress.

然后大家进一步解释说,大多数运行WordPress的站长都不懂技术,所以他们的配置一塌糊涂,又常常安装一些可以的插件和主题,简直就是找死。

而任何小白型黑客练手的工具,都是遍布全世界的WordPress,因为太容易攻克了,简直毫无难度。

于是,就造成了低端谈话(LowEndTalk)社区的大牛们普遍嫌弃WordPress.


当然,嫌弃之余,大家还是提供各种建议,提高WP的安全性。

  1. 不要安装不可靠的(random developers)的插件和主题。很多人初学php,根本不知道怎样写安全的代码,就发布了自己的插件。这种插件的功能越强大,权限越多,危险性就越大。有些人看到一个插件说,“我可以帮助你修改.access或者robots.txt”这一类至关重要的系统文件,于是高兴的想,那就省了我ssh上服务器配置http的麻烦了……拜托,wordpress是在http服务器上的一个应用,你却允许wordpress下面的一个不知道来处的插件修改http服务器的配置文件,这不是自己找死吗?

[code lang=text]
Plugin store be like "here's a list of packages written by random people on the internet – click here to download and run them!"

WordPress owner be like "Ooooh a plugin that lets me edit my robots.txt file!"
[/code]

  1. 如果不是必须的插件,就不要安装。必须的插件只有一个:wordfence——应用层防火墙。

  2. 及时升级——最好设置为自动升级。

  3. 如果用wordpress做电子商务,一定要找专业人士来维护。比如我这样的人,是可以雇来做吉祥物的。

其余的问题就不说了,已经上升到哲学层面。

%d bloggers like this: