大多数人不会在维护wordpress安装上耗费过多时间。 尽管如此,wordpress的安全问题仍然应该放在最重要的位置上。
服务器端和.htaccess保护WordPress网站安全的第一步自然是寻找安全的虚拟主机托管商。 服务器安全是所有安全措施的基础。
锁定.htaccess.htaccess文件有很多用途,但它最主要的功能,是防止黑客入侵。你可以在.htaccess文件里指定一些有权登录你的wordpress后台的IP地址。
在.htaccess文件里加入下面的代码可以达到这个效果:
AuthUserfile /dev/nullAuthGroupfile /dev/nullAuthname "Access Control"AuthType Basicorder deny,allowdeny from all#IP address to WhiteListallow from 123.456.789.012
用你指定的IP地址代替其中的123.456.789.012。
禁用目录浏览一些服务器设置允许目录浏览,即你可以通过http://yoursite.com/wp-plugins/这样的链接看到自己的插件内容。 要禁用目录浏览,只需要在.htaccess文件里加上下面的代码:
Options All -Indexes保护.htaccess
.htaccess文件的安全保护不容忽视。 首先你可以将文件的权限改为CHMOD 644。通过FTP登录进入服务器,然后进入网站根目录(通常是public_HTML文件夹,除非你为wordpress另设了一个独立文件夹)。 找到.htaccess文件后右击文件,将权限设为644。第二种方法是在.htaccess文件的最下部分加上以下代码:
<files wp-config.php>Order Deny,AllowDeny from All</files>优化wp-config文件
.htaccess文件之后接下来是wp-config.php文件。
移动wp-config文件从wordpress 2.6开始,wordpress用户可以将wp-config.php文件移到当前安装文件的上级文件夹中。 如果在当前wordpress目录下没有发现wp-config文件,wordpress会自动检查wp-config文件是否在其上层目录中。
更改wordpress表前缀安装时wordpress的默认表前缀是wp_。 刚刚安装完后要修改wordpress表前缀是件很容易的事,但当你的WordPress网站已经运行了一阵子时,修改表前缀就不是那么容易的事了。 WP Security Scan插件就是为了解决这个问题而出现的。 你可以用这个插件修改默认的表前缀。 这样攻击者在试图进入你的wordpress文件时就又多了一层障碍。
定义安全密钥你可以在wp-config文件中看到下面的内容:
/**#@+ * Authentication Unique Keys. * * Change these to different unique phrases! * You can generate these using the {@link https://API.wordpress.org/secret-key/1.1/ wordpress.org secret-key service} * You can change these at any point in time to invalIDate all existing cookies. This will force all users to have to log in again. * * @since 2.6.0 */define('AUTH_KEY','put your unique phrase here');define('SECURE_AUTH_KEY','put your unique phrase here');define('LOGGED_IN_KEY','put your unique phrase here');define('NONCE_KEY','put your unique phrase here');/**#@-*/
代码中的链接给出了一套密钥规则,你可以用所给的规则来代替代码中的四行define规则。
wordpress安全插件值得庆幸的是,wordpress拥有为数不少的安全插件。 下面只介绍一些最基础最重要的安全插件。
WP Security Scan插件WP Security Scan插件会查看你的wordpress安装文件,看是否有安全漏洞并给出相应的意见。 该插件的查看范围包括:
密码 文件权限 数据库安全 版本号的隐藏 wordpress后台安全 从核心代码中移除WP Generator Meta标签Login LockDown wordpress Security 安全插件
Login LockDown记录尝试登陆wordpress失败的所有IP地址和时间。 如果插件发现短时间内同一个IP段内多次登录失败,插件会对禁止该IP段内所有登录请求。 Login LockDown有效阻止了暴力破解密码。
用户可以通过这款插件自定义登录、登出、注册所用的URL。
AntiVirus for wordpress是一款保护博客不被采集和垃圾评论入侵的有效插件。 这款插件的用途包括: 检测可能存在的平台漏洞、病毒感染、恶意链接等。AntiVirus for wordpress还可以给你发送邮件通知和白名单。
以下是一些简单的安全预防措施:
及时将wordpress和插件都更新到最新版本 删除不用的wordpress主题和插件 使用安全程度较高的密码 不使用“admin”为登录名 为wordpress文件规定正确的文件许可权限 定期备份wordpress数据库(可利用备份插件)来源
总结以上是内存溢出为你收集整理的WordPress安全综合指南,非常重要全部内容,希望文章能够帮你解决WordPress安全综合指南,非常重要所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)