WordPress网站安全使用指南（2018版）

大家好，最近有同学反馈网站被黑了，这节课分享“WordPress网站安全防护”的经验，属于入门级课，以后不定期更新。

一个网站接入到互联网，是很危险的，作为网站管理员，要做好一系列安全防范，根据我的经验，网站被黑的原因主要有：网站管理员密码太简单，廉价主机安全级别低，自己搭建的服务器环境没做安全防范，还有文章评论没有限制遭受灌水。网站的安全防范是一个系统工程，被黑是因为有漏洞，查找漏洞可用排除分析法。网站被黑后首要处理两件事，1是找到原因，堵住源头。2是恢复之前的备份，让网站恢复运行。下面详细的列举网站安全防范：

1.主机服务器：

a)选择安全可靠的主机，不要使用免费主机和劣质主机，特别是虚拟主机，一台服务器上放了很多网站，如果其他网站遭受攻击、病毒、木马，服务商管理经验不足的话，会波及到你的站点。这种原因实在冤枉。

b)有些比较名牌的主机，比如阿里云的虚机，当你网站遇到挂马或者病毒后，他们客服说是网站自身程序问题，估计真是网站自身程序漏洞或者网站管理安全级别不够。可以请第三方服务商帮助处理网站数据。

c)网站是服务器：上面提到的虚拟主机的“系统安全”是由服务商提供的，服务器的“系统安全”是由买家提供的。买家自己安装环境，如果管理员不懂服务器安全管理，这种情况更危险，容易把服务器变成“肉鸡”，很容易被黑客利用或者攻击，甚至是入门级的黑客。解决办法是自学或者请第三方解决服务器安全问题。

剩下还有八条，请到《WordPress网站公共课》查看。

如何测试你的WordPress网站系统的安全？

如何测试你的WordPress网站系统的安全？我们一起了解一下。

1.burpsuite后台检测弱密码测试

第一个方法是利用通用的后台密码穷举方法。

一般网站如果登录成功后会出现302跳转。或者页面成功与否页面大小、内容都不会相同。

设置好浏览器代理后抓包

发送到intruder在postions设置pwd变量

在payload设置你的密码字典

设置好后点击startattack

可以看到当密码是password1的时候状态码是302

账号admin密码password1即可登录后台

2.wpscan测试后台弱密码

wpscan是针对WordPress安全测试与评估的工具，如果想测试其他高级功能请自行查看帮助文档。kali2020.1版本默认存在这个工具。直接使用命令测试后台弱口令。

wpscan--urlhttp://192.168.0.150/wordpress-eu-P/usr/share/wordlists/fasttrack.txt

-eu自动查找用户-P是设置的字典。