php網(wǎng)站密碼破解安全嗎?基礎(chǔ)知識以及確保您的網(wǎng)站保持安全的方法!php網(wǎng)站后臺破解
2022-07-02
今天,全球網(wǎng)站占據(jù)了驚人的三分之一份額。自中期實(shí)施多項(xiàng)SEO功能以來,一直是國外社區(qū)的CMS平臺。因此,它也成為許多黑客的目標(biāo),主要是出于 SEO 垃圾郵件的原因,但攻擊會使情況變得更糟。
以下是確保您的網(wǎng)站安全的一些基礎(chǔ)知識和方法。
安全嗎?
最新版本簡單易用。但是,忽略更新它可能會使其不安全。這就是為什么許多安全專業(yè)人士和開發(fā)人員不是粉絲的原因。也類似于固有的不安全 PHP 代碼,它本身警告該漏洞“源自平臺的可擴(kuò)展部分,特別是插件和主題”。
更新
沒有系統(tǒng)是 100% 安全的。安全更新需要安全運(yùn)行,這些更新不會對您產(chǎn)生負(fù)面影響。打開自動安全更新。但是,更新核心確實(shí)需要確保一切都兼容。兼容版本可用時(shí)立即更新插件和主題。
開源
開源既有風(fēng)險(xiǎn)也有好處。該項(xiàng)目受益于向核心貢獻(xiàn)代碼的開發(fā)人員社區(qū)、核心團(tuán)隊(duì)修補(bǔ)社區(qū)發(fā)現(xiàn)的安全漏洞以及黑客發(fā)現(xiàn)撬開內(nèi)容的方法。及時(shí)的漏洞利用會檢測正在運(yùn)行的內(nèi)容以匹配您版本的已知漏洞。
保護(hù)你自己
即使您沒有管理員角色,也可以采取一些措施來保護(hù)自己。確保您在具有定期掃描工作站的安全網(wǎng)絡(luò)上工作。阻止廣告以防止一些偽裝成圖像的復(fù)雜攻擊。當(dāng)您從公共 WiFi 熱點(diǎn)工作時(shí),請使用 VPN 進(jìn)行端到端加密,以防止會話劫持和 MITM 攻擊。
安全碼
無論您的角色如何,安全地管理密碼都很重要。確保您的密碼是唯一的且足夠長。當(dāng)密碼不夠長時(shí),即使是標(biāo)點(diǎn)符號、數(shù)字和字母的組合也不夠安全。您需要一個(gè)長密碼。如果您需要記憶,請使用四個(gè)或五個(gè)單詞串在一起的短語,但最好使用為您生成密碼的密碼管理器。
密碼長度
為什么長度如此重要?換句話說,使用名為 . 無論您的密碼多么難以理解,破解一個(gè)簡短的密碼只需要幾個(gè)小時(shí)。當(dāng)您的密碼超過 13 個(gè)字符時(shí),將更難破解網(wǎng)站模板,至少目前是這樣。
行政人員
如果您具有管理員用戶角色,請為自己創(chuàng)建一個(gè)具有僅編輯角色的新用戶。開始使用新的配置文件而不是管理員。這樣,WAN 攻擊將集中攻擊您的編輯角色憑據(jù),如果您的會話被劫持,您將擁有更改密碼并從入侵者手中奪取控制權(quán)的管理員權(quán)限。通過使用插件強(qiáng)制每個(gè)人都遵循強(qiáng)密碼策略。
安全政策
如果您有安全經(jīng)驗(yàn),請對插件和主題進(jìn)行代碼審查。為所有用戶建立最小權(quán)限原則。然后你強(qiáng)迫黑客執(zhí)行彈出技巧和權(quán)限提升,這涉及攻擊憑據(jù)以外的目標(biāo)。
更改文件權(quán)限
如果您控制主機(jī),請使用控制面板為自己提供一個(gè) SFTP 帳戶(如果您有),或嘗試您有權(quán)訪問的管理 UI。它可能具有配置憑據(jù)以打開安全終端窗口 (SSH) 的副作用。這樣,您可以使用系統(tǒng)實(shí)用程序等執(zhí)行額外的安全措施。
鎖定關(guān)鍵文件
除了正在運(yùn)行的 PHP 進(jìn)程之外,還有一些文件不應(yīng)該被訪問。您可以更改文件權(quán)限并編輯 . 以進(jìn)一步鎖定這些文件。要更改文件權(quán)限php網(wǎng)站密碼破解,請使用 SFTP 客戶端(如果有選項(xiàng)),或打開終端窗口并運(yùn)行命令。
$400.wp-
$ ls -la
這意味著只有正在運(yùn)行的 PHP 進(jìn)程才能讀取該文件,而不能讀取其他任何內(nèi)容。該文件不應(yīng)該設(shè)置“執(zhí)行位”,例如 700。您應(yīng)該在第二位和第三位始終有零 - 這才是真正鎖定它的原因。使用 -la 選項(xiàng)通過運(yùn)行 ls 實(shí)用程序來驗(yàn)證更改并查看。
具有嚴(yán)格的文件權(quán)限設(shè)置意味著即使文件通過,也無法將任何內(nèi)容寫入文件。
$600.wp-
當(dāng)配置文件發(fā)生重大更新時(shí),您將需要授予寫入權(quán)限。如果有的話,它應(yīng)該很少發(fā)生。
登錄文件
使用 . 鎖定 wp-.php 文件。限制對我的 IP 地址的訪問非常適合我從靜態(tài)分配的 IP 工作,或者為我自己和某些用戶工作的少量地址。如果您從其他位置登錄php網(wǎng)站密碼破解,只要您可以在控制臺上獲取設(shè)置,更改設(shè)置并不難。只需注釋掉拒絕指令,使用瀏覽器登錄網(wǎng)站制作,然后取消注釋即可。
# 頁
否定,
全部拒絕
從 111.111.111.11
XSS 和 SQL 注入
到目前為止,您將遇到的最可怕的攻擊是跨站點(diǎn)腳本 (XSS) 和 SQL 注入。您可以使用 . 字符串重寫規(guī)則來阻止其中的一些,最好使用可以為您管理這些的插件。一些安全插件會掃描您的安裝以尋找入侵跡象。如果您知道如何對您在日志中閱讀或看到的攻擊使用重寫、重定向或阻止查詢字符串簽名。
安全插件
一些安全插件會掃描您的安裝以尋找入侵跡象。是一個(gè)定期更新的流行安全插件。有一個(gè)付費(fèi)選項(xiàng)可以掃描您的安裝。防火墻將嘗試限制基于請求的攻擊,在它們到達(dá)核心之前阻止它們。您還可以編寫應(yīng)用程序來使用新的 Web Risk API 掃描您網(wǎng)站的頁面。