WordPress如何防Webshell、防篡改、防劫持，提升WP漏洞防护能力

WordPress是一款世界知名的CMS系统，不仅可以创建博客网站，还可以用于建设企业网站、下载网站、商城等各类网站。功能非常强大、结构科学合理，深受广大用户喜欢。

虽然WordPress非常优秀，但是为了保障网站安全，我们还是需要做一些必要的防护措施，方能提升WordPress的安全防护能力。

下面我们就来聊聊有哪些防护方法！

一、 文件防篡改保护

要防止入侵，防篡改是必不可少的。对文件做篡改防护有两种方法：1、通过ACL策略实现   2、使用底层驱动实现

1、 通过ACL策略防篡改

防护思路：全站只给读取权限；再对部分目录开放写权限，并禁止这些目录执行PHP脚本。

WordPress需要开放写权限的目录有：/wp-content/cache/、/uploads/

/wp-content/cache/：用于存放系统缓存文件和临时文件

/wp-content/cache/：用于存放上传图片

注意：这两个目录务必禁止执行PHP脚本。

这样设置以后，黑客就只能往这2个目录写入文件，由于禁止执行PHP脚本，即使黑客上传了webshell，也无法运行。

此方法设置较为复杂，需要有很强的专业技术。另外局限性也较多，比如无法只对PHP文件做防篡改，需要对所有文件做防篡改。如果网站需要生成HTML静态文件，就无法使用此方法了。

2、 使用底层驱动防篡改

使用底层驱动技术防护，即使用防篡改软件。不同软件设置方法不同，推荐使用《护卫神.防入侵系统》，因为其内置WordPress防篡改规则，非常简单的操作就可以开启强大的防篡改功能（如下图一），同时没有副作用。

 

（图一：WordPress防篡改模板）

如上图，选择“网站目录”，安全模板选择“WordPress安全模板”，防篡改功能就开启了。系统立即启动防篡改保护，同时不会影响管理员日常维护网站，没有副作用（非常有特色的地方，大部分防篡改软件都有副作用）。

当黑客上传webshell的时候，拦截效如下图二。

 

（图二：WordPress防篡改拦截效果）

二、 网站后台访问保护

开启防篡改保护后，还需要对后台做下防护，防止黑客窃取后台信息，进行合法的篡改操作（如设置网站配置信息，植入恶意代码）。

防护思路也很简单，给后台设置二次密码，或是限制特定区域才能访问（如某个城市）。《护卫神.防入侵系统》的“网站后台保护”模块可以实现，填写后台地址，设置授权密码以及允许访问的区域，就可以了（如下图三）。

 

（图三：WordPress后台保护）

如果不在授权区域的用户访问后台，此时会要求输入授权密码（如下图四）

 

（图四：WordPress后台拦截保护）

输入正确的授权密码，或是在授权区域的用户，就可以正常访问WordPress后台（如下图五）

 

（图五：WordPress后台访问）

三、 防SQL注入、防XSS跨站脚本攻击

SQL注入和XSS跨站攻击是黑客常用的入侵手段，也需要做好防护。

《护卫神·防入侵系统》自带有SQL注入防护模块（如下图六），除了拦截SQL注入，还可以拦截XSS跨站脚本，一并解决全服务器的安全漏洞，拦截效果如图七。

温馨提示：此模块默认已经开启，无需再另行设置！

 

（图六：WordPress注入防护）

 

（图七：WordPress防SQL注入拦截效果）

怎么样，是不是很简单，只需要简单两步设置，就能轻松解决WordPress漏洞防护问题。 

原文：WordPress如何防Webshell、防篡改、防劫持，提升WP漏洞防护能力