前陣子提供一台測試用伺服器給朋友作為學習使用,不過過了一個星期後發現測試網站被植入程式而且主機商也寄信提醒有異常。
經過追朔發現源頭來自朋友的網站安裝了破解版Elementor工具,這邊提醒網路上破解的外掛插件請別亂安裝,請多付費支持開發者吧!
既然查到原因了就開始做掃毒和加強安全性吧,這邊使用的外掛主要是比對WordPress核心程式、佈景主題和外掛的程式碼是否有更動過,所以只要不同就建議刪除重新安裝。
外掛不是萬能的如果先前有做備份,建議使用備份的版本以確保網站沒有殘存的惡意程式碼。
*2023/01/25更新: 該外掛先前因安全因素被下架,短期間內不會重新上架。
所以你的外掛版本低於9.2版是不會有更新提示的,請務必從「官網下載」新版本。
外掛資訊
作者: Cerber Tech Inc.
網址: https://wordpress.org/plugins/wp-cerber/
版本: 8.8
Table of Contents
網站網整性
設定
首先安裝完成後進入檔案完整性 -> 設定,這邊可以變更要掃描哪類型檔案,我這邊是採用預設。
安全性掃描
第一次使用可以選擇「開始完整掃描」
如果網站有問題就會出現以下資訊,然後點選解決問題可以查看解決方式
然後我這邊選擇GP Premium plugin,這個是付費外掛所以需要上傳對應版本比對程式碼是否不同
如果不相同代表網站上的外掛有被修改過,需要重新安裝
如果有出現非WordPress檔案,這邊也會提示要刪除惡意代碼
外掛上傳完成後再進行一次掃瞄,如果沒問題就可以放心了只需要持續追蹤是否有異常即可。
控制台
這邊就是主控台,會顯示出使用者活動紀錄、惡意流量和被封鎖的IP
活動
這邊就是顯示出惡意流量的詳細資料,我們可以篩選出相關資料並作額外防護設定
通信
這邊會顯示使用者的登入相關紀錄
主設定
這邊就依照個人的設定機制做調整,原則上採用設定即可,不過有些地方需要做調整。
自訂登入頁面:這邊請設定一個新的後台登入連結,不要採用原先的 wp-admin
主動式安全規則:「停用控制台重定向」、「不存在的使用者」、「wp-login.php請求」,這三個功能都將它開啟。
堡壘模式中的「啟用驗證紀錄監控」,這邊我會將門檻的200次改成10次,當我們收到EMAIL之後就知道要注意網站有用戶出現登入失敗,這個設定要依使用人數調整才不會一直收到通知。
存取清單
這邊可以設定登入白名單,避免被當惡意訪客而封鎖
堅固強化
這邊建議將「禁止上傳PHP」、「停用XML-RPC」、「停用使用者列舉」,三個功能開啟
通知
這邊一定要設定,我這邊是採用預設的機制
流量檢驗
即時流量
這邊的資料和前面的「活動」看到的是一樣的
設定
這邊的內容一樣可以用預設即可
使用者策略
基於角色
如果有多個使用者會登入時可以設定,因為我這邊只有版主一個人所以就沒有額外設定
垃圾留言防護
防垃圾留言引擎
如果有開放留言就可以開啟,但是你有改用Disqus或是內建的Akismet就不需要設定
reCAPTCHA
這邊可以設定改成使用Google的非機器人驗證
取得金鑰與密碼請參考這篇文章 Google reCAPTCHA 教學,阻擋機器人留言工具
工具
管理設定
當我們有多個網站時,不可能依依設定每個網站,這時只需要將他匯出在匯入到指定網站就可以快速完成設定