预装 SiteGround 安全插件,增强对 WordPress 漏洞的防护
Posted: Tue Dec 03, 2024 3:20 am
我们最近推出了自己的 WordPress 安全插件 — SiteGround Security(现名为 Security Optimizer),旨在保护 WordPress 用户免受困扰网站的最常见漏洞的侵害。任何人都可以免费下载和使用,无论他们使用哪种托管平台。但是,为了确保我们的 WordPress 网站在应用程序级别得到良好的保护,我们已经开始在我们平台上的所有新安装中预安装 SiteGround Security,并默认启用一些功能。
针对常见 WordPress 漏洞的默认 SiteGround 安全设置
从一开始就考虑安全性来设置您的网站可以轻松保护您免受一些最常见 自营职业数据库 的漏洞的侵害。 为了帮助您实现这一目标,当我们预安装 SiteGround Security 插件时,我们会启用以下设置:
WordPress 版本默认隐藏
黑客经常爬取网站来获取有关所用软件版本的信息。这样,当他们发现任何版本中的漏洞时,他们就可以使用该信息快速访问并批量攻击许多网站。对于 WordPress 应用程序,这些数据在两个地方公开可用 - 在 HTML 标记中和readme.html文件中。
默认情况下,我们的插件会删除 WordPress 版本的 HTML 标签,我们强烈建议您通过 SiteGround Security 插件中的选项删除readme.html文件。
启用高级 XSS 漏洞保护
跨站点脚本漏洞(称为 XSS)允许不同的应用程序和插件访问 WordPress 中它们不应该访问的信息。例如,此类攻击通常用于收集敏感用户数据。默认情况下,SiteGround Security 插件通过添加标头来指示浏览器不接受 JS 或其他代码注入,从而实现对 XSS 的保护。
禁用 XML-RPC 协议以防止许多漏洞和攻击
XML-RPC 是 WordPress 用来与其他系统通信的旧协议。自从 REST API 出现以来,它的使用越来越少。但是,它在应用程序中可用,许多人用它来利用漏洞、发起 DDOS 攻击和其他麻烦。这就是为什么我们的 SiteGround Security 插件默认禁用此开放访问您的 WordPress 应用程序的线路。
笔记:
Jetpack 插件和移动应用程序是 XML-RPC 协议的有效用户。如果您在某个时候下载 Jetpack,我们将自动重新启用该协议。您也可以通过插件界面自行启用它。
禁用 RSS 和 ATOM 源的选项
与 XML-RPC 类似,feed 如今很少使用,但攻击者和恶意机器人经常会利用它们来抓取您的网站内容。因此,SiteGround Security 插件允许您轻松禁用它们。除非您真的需要它们,否则我们建议使用此选项并尽快禁用它们。
默认锁定和保护系统文件夹
通常,当发生漏洞时,攻击者会尝试在公共文件夹中插入和执行 PHP 文件以添加后门并进一步危害您的帐户。根据设计,这些可公开访问的 WordPress 文件夹用于上传媒体内容(例如图像)。通过 SiteGround Security 插件,我们不会禁止文件上传,但我们会阻止 PHP 文件和恶意脚本的执行并阻止它们给您的网站带来问题。此功能保护这些系统文件夹并防止从中执行潜在的恶意脚本。
已禁用“管理员”用户名
默认用户名是“Admin”,也是所有应用程序所有者最广泛使用的用户名。黑客知道这一点,当他们想要暴力破解登录表单时,他们肯定会尝试。这就是我们默认禁用此用户名的原因。
已禁用主题和插件编辑器
通过插件和主题编辑器编辑代码会带来直接的安全风险,包括潜在的特权提升攻击和常规站点管理员的错误。如果您想编辑文件,强烈建议您使用站点工具中的文件管理器工具,或通过 FTP 或 SSH 使用您喜欢的编辑器(最好在您站点的暂存副本上)。为了帮助您避免不良做法和攻击,我们默认禁用主题和插件编辑器。
推荐的漏洞保护设置
针对常见 WordPress 漏洞的默认 SiteGround 安全设置
从一开始就考虑安全性来设置您的网站可以轻松保护您免受一些最常见 自营职业数据库 的漏洞的侵害。 为了帮助您实现这一目标,当我们预安装 SiteGround Security 插件时,我们会启用以下设置:
WordPress 版本默认隐藏
黑客经常爬取网站来获取有关所用软件版本的信息。这样,当他们发现任何版本中的漏洞时,他们就可以使用该信息快速访问并批量攻击许多网站。对于 WordPress 应用程序,这些数据在两个地方公开可用 - 在 HTML 标记中和readme.html文件中。
默认情况下,我们的插件会删除 WordPress 版本的 HTML 标签,我们强烈建议您通过 SiteGround Security 插件中的选项删除readme.html文件。
启用高级 XSS 漏洞保护
跨站点脚本漏洞(称为 XSS)允许不同的应用程序和插件访问 WordPress 中它们不应该访问的信息。例如,此类攻击通常用于收集敏感用户数据。默认情况下,SiteGround Security 插件通过添加标头来指示浏览器不接受 JS 或其他代码注入,从而实现对 XSS 的保护。
禁用 XML-RPC 协议以防止许多漏洞和攻击
XML-RPC 是 WordPress 用来与其他系统通信的旧协议。自从 REST API 出现以来,它的使用越来越少。但是,它在应用程序中可用,许多人用它来利用漏洞、发起 DDOS 攻击和其他麻烦。这就是为什么我们的 SiteGround Security 插件默认禁用此开放访问您的 WordPress 应用程序的线路。
笔记:
Jetpack 插件和移动应用程序是 XML-RPC 协议的有效用户。如果您在某个时候下载 Jetpack,我们将自动重新启用该协议。您也可以通过插件界面自行启用它。
禁用 RSS 和 ATOM 源的选项
与 XML-RPC 类似,feed 如今很少使用,但攻击者和恶意机器人经常会利用它们来抓取您的网站内容。因此,SiteGround Security 插件允许您轻松禁用它们。除非您真的需要它们,否则我们建议使用此选项并尽快禁用它们。
默认锁定和保护系统文件夹
通常,当发生漏洞时,攻击者会尝试在公共文件夹中插入和执行 PHP 文件以添加后门并进一步危害您的帐户。根据设计,这些可公开访问的 WordPress 文件夹用于上传媒体内容(例如图像)。通过 SiteGround Security 插件,我们不会禁止文件上传,但我们会阻止 PHP 文件和恶意脚本的执行并阻止它们给您的网站带来问题。此功能保护这些系统文件夹并防止从中执行潜在的恶意脚本。
已禁用“管理员”用户名
默认用户名是“Admin”,也是所有应用程序所有者最广泛使用的用户名。黑客知道这一点,当他们想要暴力破解登录表单时,他们肯定会尝试。这就是我们默认禁用此用户名的原因。
已禁用主题和插件编辑器
通过插件和主题编辑器编辑代码会带来直接的安全风险,包括潜在的特权提升攻击和常规站点管理员的错误。如果您想编辑文件,强烈建议您使用站点工具中的文件管理器工具,或通过 FTP 或 SSH 使用您喜欢的编辑器(最好在您站点的暂存副本上)。为了帮助您避免不良做法和攻击,我们默认禁用主题和插件编辑器。
推荐的漏洞保护设置