WordPress安全防护攻略，网络安全界面开发基础

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

第二：站点部署在可靠的主机上

不要贪图便宜使用不知名公司的主机，要防火墙没防火前，一堆漏洞，没什么专业的人维护。还有不要使用免费的主机，本身服务器维护成本不低，还给你免费使用，想想都不对劲儿。如果被DDOS攻击，靠谱的主机方解决起来有实力。还可以使用CDN加速（付费），来隐藏真实IP。

第三：数据自动备份–主机镜像备份

养成不管做什么，都要有备份的好习惯，即便被黑了，核心数据还在，根就在，怕啥；最坏的事故就是网站彻底做鸡了，还没备份，那心里的噶应感觉真是简直了。

推荐的还有服务器端快照备份和景象备份

数据备份插件推荐： UpdraftPlus 200多万的安装 当前更新时间2019年3月 （备份插件恢复的话不是100%）

有个简单的方法就是 在你的主机服务器上使用快照备份或者镜像备份。

第四：垃圾评论过滤

网站经常会收到一堆垃圾评论，你看就不正经，你看着像广告，但其实可能是XSS(跨站脚本攻击)，危害性不可小看

你可以使用 插件： Akismet，千百万人使用，保护自己的站点免受垃圾评论的困扰

第五：身份转换

当网站被人撸了后，应该不会闲的去告诉你，所以没事的时候可以使用技术手段定时检查一下网站的安全漏洞啥的。有不少专业工具可以扫描，Kali Linux就可以攻击WordPress，转换下身份可以自己攻击自己玩玩，又能增长知识还能提前发现安全隐患。

扫描插件推荐： WordFence 当前更新于2019年3月

第六：插件安全性

网站的漏洞可能来源于插件，所以插件尽量少装，能用代码替换用代码替换，再者安装插件的话从WordPress官方的插件中心下载，避免来源不明的插件。

第七：管理员帐号安全性要高

怎么个高法？用户名和密码多种字符串联使用，比如：用户名D2e+@6~p;8[I 密码 k8/*W&^/j6>b.0

那些黑客会利用脚本自动化访问输入用户名密码来暴力破解。如果你的网站装有流量分析或者请求监控的话你可以看看，可以看到请求者的IP和他想访问的地址，从中筛选出"嫌疑犯"，当然如果你的站点访问挺多的，这确实不好筛选，如果你有什么好的方法，留言一起学习。

还可以限制登录次数，插件推荐 Login LockDown 当前更新于2016年9月

第八： 更改登录入口

在你登录的时候，你可以看到浏览器地址栏那有个地址(wp-admin)，如果你没做修改的话，那是WP默认的后台地址，所以修改掉你的登录入口，可以有效防止被人发现你的后台地址。

第九：使用Https协议

如果你的电脑有什么代理软件或者监听软件，普通的传输方式可能是明文的，恶意者很容易窃取你的信息。改成https放心多了

服务器商官网都有修改https教程，如果你是WordPress站点的话，可以搜索WordPress配置SSL。

第十：关闭.php文件访问权限

WP是用php开发的，在访问你的站点的时候有可能某个链接是.php的，一旦被发现php源文件有漏洞的话，他可能就会做一些渗透。

在.htaccess文件里添加针对敏感目录的规则，禁止直接访问.php文件

<Directory “/var/www/wp-content/uploads/”>

<Files *.php>

Order Allow, Deny

Deny from all

第十一：数据库

在安装WP的过程中有个数据库环节，其中有数据库表前缀wp_，这是默认的，如果你使用这个，可能会被撞到使用SQL注入的形式攻击你。有备份的话还好，没备份就呵呵了。

第十二：找准目标群体

个人站点是针对国内的，所以国外的一些ip就可以直接拒绝掉了 ，而且大部分进行CC攻击的多数来源是国外，只允许国内用户访问省事多了。

拒绝非中文用户访问：这需要修改 /usr/local/nginx/conf/duimin.com.conf，正常的非中文访问的全部404错误页面。

if ( $http_accept_language ~* ^[zh])

{ return 404; #非中文用户访问网站返回404 }

写在最后

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

友，可以添加V获取：vip204888 （备注网络安全）**
[外链图片转存中…(img-wCbsrfhC-1713189633567)]

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！