共计 1818 个字符,预计需要花费 5 分钟才能阅读完成。
wordpress 是目前世界上使用广泛的博客软件,比较容易受到各种攻击,因此 wordpress 安全性也是非常重要的,以下有 10 个安全技巧,可以帮助你轻松的解决 wordpress 安全性问题,以免你在 wordpress 的安全性上走更多的弯路。
1、升级 wordpress 到最新版本
一般来说,新版本的 wordpress 安全性都会比老版本要好一些,并且解决了已知的各种安全性问题,特别当遇到重大的版本升级时,新版本可能会解决更多的关键性问题。(例如老版本 wordpress 有 remv.php 重大漏洞,可能会导致遭受 ddos 攻击,升级到最新 2.7 版本可解决这个问题)
2、隐藏 wordpress 版本
编辑你的 header.php 模板,将里面关于 wordpress 的版本信息都删除,这样黑客就无法通过查看源代码的防治得知你的 wordpress 有没有升级到最新版本。
3、更改 wordpress 用户名
每个黑客都知道 wordpress 的管理员用户是 admin,具有管理员权限,会攻击这个用户,那么你需要创建一个新用户,将其设置为管理员权限,然后删除老的 admin 帐号,这就能避免黑客猜测管理员的用户名。
4、更改 wordpress 用户密码
安装好 wordpress 后,系统会发送一个随机密码到你的信箱,修改这个密码,因为这个密码的长度只有 6 个字符,你要将密码修改为 10 个字符以上的复杂密码,并尽量使用字母、数字、符号相混合的密码。
5、防止 wordpress 目录显示
wordpress 会默认安装插件到 /wp-content/plugins/ 目录下,通常情况下直接浏览这个目录会列出所有安装的插件名,这很糟糕,因为黑客可以利用已知插件的漏洞进行攻击,因此可以创建一个空的 index.html 文件放到这个目录下,当然,修改 apache 的.htaccess 文件也可以起到相同的作用。
6、保护 wp-admin 文件夹
你可以通过限定 ip 地址访问 wordpress 管理员文件夹来进行保护,所有其他 ip 地址访问都返回禁止访问的信息,不过你也只能从一两个地方进行博客管理。另外,你需要放一个新的.htaccess 文件到 wp-admin 目录下,防止根目录下的.htaccess 文件被替换。
7、针对搜索引擎的保护
很多 wordpress 系统文件不需要被搜索引擎索引,因此,修改你的 robots.txt 文件,增加一行 disallow: /wp-*
8、安装 login lockdown 插件
这个插件可以记录失败的登录尝试的 ip 地址和时间,如果来自某一个 ip 地址的这种失败登录超过一定条件,那么系统将禁止这一 ip 地址继续尝试登录。
9、wordpress 数据库安全
数据表最好不要使用默认的 wp_开头,安装数据库备份插件,无论做了多少保护,你还是应该定期备份你的数据库,使用 wordpress database backup 等插件可以实现数据库的定期备份。
10、安装 wordpress security scan 插件
这个插件会自动按照以上的安全建议对你的 wordpress 进行扫描,查找存在的问题,使用较为简单。
最近总是有一些黑阔入侵其他人的博客,下面说下如何防止 wordpress 博客被黑首先是权限设置设置权限只读,chmod -v -r 555(因人而异,如果是 cp 或者 da 面板的主机则是 550) /home/safe121.com-akdifasdkf434/asdfsd32523/gfgad5346/public_html 然后进入 wp-content, 输入 chmod 777(因人而异,如果是 cp 或者 da 面板的主机则是 770) -v -r uploads,不然该无法上传文件了,如果有一些插件,比如 wp-super-cache 之类的,还需要设置 cache 目录为可写(777)(因人而异,如果是 cp 或者 da 面板的主机则是 770) 之后是 webserver 上的设置应该是:“可执行不给写入,可写入不给执行”所以,在这两个目录下写入.htaccess 文件,内容如下
order allow,denydeny from all
这样就可以禁止执行 php 了,然后是后台的安全,可以修改下 wp-login.php 的文件名,不过需要替换此文件里面的 wp-login.php 为你的新文件名,如果 diy 能力比较好,可以查看这篇文章《用 usbkey 保护网站后台》这样即使拿到你的密码,也不能进入后台,进入了后台,也不能拿到 shell,这样就比较安全了。