如何保护单个 wordpress 网址免受攻击？ [关闭]答案

【问题标题】：How do I protect individual wordpress urls from being attacked? [closed]如何保护单个 wordpress 网址免受攻击？ [关闭]
【发布时间】：2020-01-22 14:37:22
【问题描述】：

我正在努力保护我的 WordPress 网站免受黑客攻击 - 更具体地说，是单个非内容页面似乎获得了更多点击。几个月前我正在使用 Siteground 并安装了 WordPress。检查网站统计数据，我被我所看到的吓了一跳。我在下面简要总结了页面点击量。

https:// ... /wp-admin/admin-ajax.php --> 这个页面每个月的浏览量超过 16k 次。考虑到我的网站只上线了 2 个月，没有 SEO，而且没有人知道它的存在，这很奇怪！

https:// ... /index.php/wp-json/wp/v2/users/ --> 这个页面正在泄露我的用户名。

https:// ... /index.php/wp-json/wp/v2/pages --> 似乎显示了我的一个主页中的代码。

还有一大堆看起来很奇怪的页面正在访问：

https:// ... /index.php/wp-json/wp/v2/taxonomies

https:// ... /index.php/wp-json/wp/v2/categories

https:// ... /index.php/wp-json/wp/v2/taxonomies/post_tag

https:// ... /index.php/wp-json/wp/v2/taxonomies/category

https:// ... /index.php/wp-json/wp/v2/tags

https:// ... /wp-admin/load-styles.php --> 显示空白屏幕

还有更多的负载，一些重定向到 WordPress 登录页面，而另一些则显示空白屏幕。还有一些 URL 允许任何用户下载 *.woff 文件（不管是什么？！）。

重点是，我认为 WordPress 足够安全，至少不会让这些页面可见并显示详细信息。

有什么我可以做的吗？正如我所指出的，我使用的是不使用 cPanel 的 Siteground。

我认为博客网站最困难的部分是内容创建和整体网页设计。我现在不确定。

任何帮助和/或建议将不胜感激。

谢谢。

【问题讨论】：

您能做的最有影响力的事情可能是确保运行 Web 服务器进程的用户没有对其所服务的任何文件或目录的写入权限。
浏览您的主题 + 模块，确保它们都是必需的、最新的并且值得信赖。
Wordpress 网站是臭名昭著的探测目标，当他们试图寻找空缺时，您几乎会不断地对您网站中的所有内容进行点击。 FWIW 我使用 Gerber 安全来监视事情，它在阻止坏人方面做得很好。除非您不使用 Wordpress，否则您不会停止探索。
即使你不使用WordPress，你的服务器也会被探测到各种漏洞。像 phpmyadmin、其他 CMS 文件或可能位于您的 Web 根目录中的框架文件。另一个示例是不在您的 Web 根路径中保护 .git 目录。除了 WordPress 之外，还有许多其他技术需要实施以加强网站的安全性，例如 CORS 策略、Anti-XSS、CSRF 等。

标签： php wordpress security

【解决方案1】：

至于访问登录页面，这是 WordPress 网站所期望的 - 机器人喜欢它们。您应该有一个强密码，并为您的管理员权限帐户使用非标准用户名。机器人将始终使用默认登录凭据访问默认页面以进行尝试。你也可以再走一步，移动登录页面，这将大量放弃对真实登录页面的访问，如果你自己编码不方便，可以使用一个插件：WPS Hide Login。

至于 wp-json URL，您可以确保它们需要登录/禁用并提供答案 here，例如禁用它的插件：Disable REST API。

关于 .woff 文件，这些只是字体文件，要么是机器人抓取它们，要么是用户正在访问它们以查看设计的网页；真的不用担心。

WordPress 有一篇不错的文章，介绍了您可以采取哪些措施来保护您的网站以及 here。

【讨论】：

谢谢大家，谢谢zbee。如果其他人正在阅读本文并使用 Siteground，那么您可以使用站点工具 -> 安全 -> 受保护的 URL 来保护您网站上的各个 URL。然后，您可以添加用户名/密码。我注意到页面浏览量大幅下降。