WP Security Scan – 掃描你的WordPress有沒有漏洞

WP Security Scan這套WordPress的外掛可以幫你掃描並提供你一些WordPress的漏洞,如果你的網站是自己架的我想你應該知道在架站前要先設定檔案屬性,也就是777.655這類的,WP Security Scan這個外掛的功能其實就是幫你檢查檔案屬性有沒有設定好,還有WP Security Scan可以幫你檢查及修改資料庫的前置詞,很適合架站新手使用

WP Security Scan外掛資訊:

• 官方網站:   http://semperfiwebdesign.com/
• 目前版本號:   2.7.1.1
• 可安裝的WordPress:   2.3~2.8.4
• 下載位址: http://downloads.wordpress.org/plugin/wp-security-scan.zip

WP Security Scan內建功能:

1. 檢查檔案屬性
2. 修改WP資料庫字首
3. 修改WordPress密碼
4. 隱藏WordPress版本代號

WP Security Scan安裝教學

1.進入WordPress後台,依序點選【外掛】→【新增外掛】,然後在文字框框內輸入「WP Security Scan」

2.接下來會顯示出WordPress搜尋到的相似外掛,按一下第一個後面的安裝,然後會有一個介面跳出來顯示WP Security Scan的資訊,旁邊應該會有【現在安裝】四個字,按下去就對了

3.最後WordPress會跟你要求伺服器的ID和密碼,就是你的空間的帳密啦,輸入進去在按開始,WordPress就會開始安裝嚕

.

WP Security Scan使用教學:

.
一.用WP Security Scan初步檢視基本資訊
安裝好WP Security Scan以後,打開WordPress的後台,然後把網頁卷軸拉到最下面你會在側邊欄看到Security的選項直接點進去,就會顯示出你的伺服器的基本資訊,由於是英文的,所以下面附上中文翻譯

P.S.WP Security Scan這套外掛會將沒有設定好的部份(也就是漏洞)顯示成紅色,安全的部份顯示為綠色

掃描結果的那裡,WP Security Scan會顯示出你目前的版本號.是否有修改資料庫字首.是否隱藏WordPress版本號以及是否修改過預設帳號admin等資訊,如果看不懂他的內容就丟到Google翻譯去看看吧,畢竟每個人顯示的資訊都不同,我也沒辦法直接給你翻譯
二.修改資料庫字首
為甚麼要修改資料庫字首呢?其實這是因為WordPress的安裝系統在一開始時會自動設定資料庫字首為wp_,濉然可以省去大家想資料庫字首的麻煩(其實也不會很麻煩@@),但是也讓一些駭客有機可乘,例如知名的Zero-day就是利用資料庫字首來攻擊網站的,所以為了安全起見提供你修改資料庫字首的功能

1.進入部落格後台,依序點選【Security】→【Database】,然後再「Change the current」的那欄輸入你想要的資料庫字首,必須是英文的,而且後面一定要加上一個底線符號( _ )

三.檢視詳細的掃描結果
在這裡,我們要教各位WP Security Scan最重要的功能,也就是掃瞄檔案屬性有沒有設定好

1.進入後台,依序點選【Security】→【Scanner】

2.接下來會有一個表格顯示出需要修改的檔案,其中綠色代表已經改好的,紅色則是尚未改好的,另外這個表格的翻譯如下:

Name: 檔案名稱

File/Dir: 檔案位置(..代表根目錄)

Needed Chmod :需要的檔案屬性,也就是你改檔案屬性時要輸入的數字

Current Chmod : 該檔案目前的屬性

四.修改掉預設的admin帳號

在WordPress的線上安裝程式裡面預設的管理員帳號是admin,其實這就是一個很大的漏洞,因為這等於是把你的帳號公諸天下,駭客只要使用暴力破解法就能解開你的密碼,所以建議各位把系統預設的帳號給改掉,改帳號的方法:

1.進入架站空間的資料庫

2.點選wp-users旁邊的瀏覽

3.接下來你會進入到wp-users這個資料表,裡面會顯示目前註冊在裡部落格的帳號,點選一個叫admin的帳號旁邊的那隻筆

4.把user-login那項改成你要的帳號在按執行即可完成更改