WP Security Scan – 掃描你的WordPress有沒有漏洞

2009-11-14 15 27 06

WP Security Scan這套WordPress的外掛可以幫你掃描並提供你一些WordPress的漏洞,如果你的網站是自己架的我想你應該知道在架站前要先設定檔案屬性,也就是777.655這類的,WP Security Scan這個外掛的功能其實就是幫你檢查檔案屬性有沒有設定好,還有WP Security Scan可以幫你檢查及修改資料庫的前置詞,很適合架站新手使用

WP Security Scan外掛資訊:

WP Security Scan內建功能:

  1. 檢查檔案屬性
  2. 修改WP資料庫字首
  3. 修改WordPress密碼
  4. 隱藏WordPress版本代號

WP Security Scan安裝教學

1.進入WordPress後台,依序點選【外掛】→【新增外掛】,然後在文字框框內輸入「WP Security Scan」

2009-11-14 15 36 47

2.接下來會顯示出WordPress搜尋到的相似外掛,按一下第一個後面的安裝,然後會有一個介面跳出來顯示WP Security Scan的資訊,旁邊應該會有【現在安裝】四個字,按下去就對了

2009-11-14 15 42 29

3.最後WordPress會跟你要求伺服器的ID和密碼,就是你的空間的帳密啦,輸入進去在按開始,WordPress就會開始安裝嚕

2009-11-14 15 45 25

.

WP Security Scan使用教學:

.
一.用WP Security Scan初步檢視基本資訊
安裝好WP Security Scan以後,打開WordPress的後台,然後把網頁卷軸拉到最下面你會在側邊欄看到Security的選項直接點進去,就會顯示出你的伺服器的基本資訊,由於是英文的,所以下面附上中文翻譯

P.S.WP Security Scan這套外掛會將沒有設定好的部份(也就是漏洞)顯示成紅色,安全的部份顯示為綠色

2009-11-14 15 55 16

掃描結果的那裡,WP Security Scan會顯示出你目前的版本號.是否有修改資料庫字首.是否隱藏WordPress版本號以及是否修改過預設帳號admin等資訊,如果看不懂他的內容就丟到Google翻譯去看看吧,畢竟每個人顯示的資訊都不同,我也沒辦法直接給你翻譯
二.修改資料庫字首
為甚麼要修改資料庫字首呢?其實這是因為WordPress的安裝系統在一開始時會自動設定資料庫字首為wp_,濉然可以省去大家想資料庫字首的麻煩(其實也不會很麻煩@@),但是也讓一些駭客有機可乘,例如知名的Zero-day就是利用資料庫字首來攻擊網站的,所以為了安全起見提供你修改資料庫字首的功能

1.進入部落格後台,依序點選【Security】→【Database】,然後再「Change the current」的那欄輸入你想要的資料庫字首,必須是英文的,而且後面一定要加上一個底線符號( _ )

2009-11-14 16 27 37

就這樣一個步驟即可完成更改,不過當你按下Start Renaming之後如果顯示的是下圖中的文字,那麼你就只能手動更改囉
2009-11-14 16 32 06

三.檢視詳細的掃描結果
在這裡,我們要教各位WP Security Scan最重要的功能,也就是掃瞄檔案屬性有沒有設定好

1.進入後台,依序點選【Security】→【Scanner】

2009-11-14 16 35 13

2.接下來會有一個表格顯示出需要修改的檔案,其中綠色代表已經改好的,紅色則是尚未改好的,另外這個表格的翻譯如下:

Name: 檔案名稱

File/Dir: 檔案位置(..代表根目錄)

Needed Chmod :需要的檔案屬性,也就是你改檔案屬性時要輸入的數字

Current Chmod : 該檔案目前的屬性

2009-11-14 16 38 25

四.修改掉預設的admin帳號

在WordPress的線上安裝程式裡面預設的管理員帳號是admin,其實這就是一個很大的漏洞,因為這等於是把你的帳號公諸天下,駭客只要使用暴力破解法就能解開你的密碼,所以建議各位把系統預設的帳號給改掉,改帳號的方法:

1.進入架站空間的資料庫

2009-11-14_214115

2.點選wp-users旁邊的瀏覽

2009-11-14_214234

3.接下來你會進入到wp-users這個資料表,裡面會顯示目前註冊在裡部落格的帳號,點選一個叫admin的帳號旁邊的那隻筆

2009-11-14_214451

4.把user-login那項改成你要的帳號在按執行即可完成更改

2009-11-14_214700

7 thoughts on “WP Security Scan – 掃描你的WordPress有沒有漏洞”

  1. 我還不知道外掛可以這樣由後台那麼快安裝
    真是太感謝你的教學了~

  2. 大大 發生一件事
    我照你這第三步驟一弄
    整個站資料不見了 好像被還原了一樣
    這外掛是不是有問題呀?

    三.檢視詳細的掃描結果
    在這裡,我們要教各位WP Security Scan最重要的功能,也就是掃瞄檔案屬性有沒有設定好

    1.進入後台,依序點選【Security】→【Scanner】

    點了這最後一步驟 Scanner 之後 整個資料變新的了..

    1. 應該是你有按到別的
      因為這個外掛不會動到檔案
      而且除非你被駭客攻擊
      不然沒有任何外掛可以修改你的WordPress檔案(因為檔案屬性問題)
      你是用免費空間嗎??如果是免費空間那主機商可能不會幫你備份= =

  3. 不是免費的也有備份 但覆蓋回去也無效
    這外掛在資料庫建立一個新的程式了所以之前檔案好像被移除了

    Scanner 點了這之後就建立出新部落格了..

    大大 會不會是我利用這外掛改了wp_ 這個名稱之後 整個路徑和原先不同了
    所以資料跑不出來呀?會不會是這原因?

  4. 沒有~我只操做了這外掛
    做第二步驟點Scanner 這個之後他出現說可以新增一個部落格
    我就隨便填一下 結果原來的部落格就真的變新的了

    不過還好只有一千多篇文章而已 ~
    要是幾萬的就要哭了

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料