WordPress安全的7个建议 让WordPress变得更安全

  前些日子游子的一个博客曾被黑了,以前总觉得没什么,就是一个小站而已,现在才知道安全是很重要的,现在在论坛上也看到很多人博客被黑了或被挂马了,今天总结一些关于WordPress安全的建议,分享给大家。在我看来选择空间很重要,如果是安装WordPress的话选择linux系统要好一些这样ASP木马泛滥就不能运行了。前段时候那个小博客,就是因为中了ASP木马webshell被取就没有隐私和安全可言了,简直是任人宰割。
  
  1、保护好你的密码
  
  这是一个老生常谈的话题了,任何人都知道密码的重要性,被别人盗取了密码就算是完了...所以密码要保护好,而且需要经常更换。
  
  2、升级WordPress以及插件到最新版本
  
  旧的版本肯定多多少少存在一些漏洞,所以要升级Wordpress到最新版本,还有一些插件,也是需要升级的,方法很简单,有些主机可以直接升级,有些主机不行的话可以去官网下载最新版本安装,注意升级前最好备份好你的数据库!
  
  3、隐藏WordPress版本信息
  
  建议修改一下的模板中的header.php,将里面关于WordPress的版本信息都删除,这样黑客就无法通过查看源代码来判断你的WordPress有没有升级到最新版本,你的Wordpress版本有没有特定的漏洞。
  
  4、保护好一些特定的目录
  
  WordPress的重要目录主要是 /wp-admin/, /wp-content/plugins/和/wp-content/themes/这3个。
  
  /wp-admin/这个目录比较重要,涉及到后台管理的安全,可以在该目录中新建一个.htaccess文件,阻止除了自己以外的IP的访问。具体代码如下
  
  AuthUserFile /dev/null
  
  AuthGroupFile /dev/null
  
  AuthName “Example Access Control”
  
  AuthType Basic
  
  order deny,allow
  
  deny from all
  
  allow from ***.***.***.***
  
  allow from ***.***.***.***
  
  其中***.***.***.***是指你登录后台的IP,从而达到过滤其他人登录的IP。
  
  对于/wp-content/plugins/和/wp-content/themes/,主要是隐藏你的插件和主题的信息,最简单的方法就是在这两个目录中添加一个空的index.html,现在的版本都带有index.php,当然,如果还在使用老版本,建议这么做!也可以在根目录的.htaccess文件中添加一句Options -Indexes
  
  5、设定好一些目录和文件的权限
  
  对Wordpress目录和文件权限的设置,可以让博客用得更加方便更加安全。
  
  Wordpress根目录:所有文件仅对于您的用户帐号可写。除了 .htaccess 如果您希望WordPress为您自动生成重写控制。
  
  /wp-admin/ - WordPress控制区域:所有文件仅对于您的用户帐号可写。
  
  /wp-includes/ - 主要的WordPress逻辑应用程序:所有文件仅对于您的用户帐号可写。
  
  /wp-images/ - WordPress使用着的图形文件:所有文件仅对于您的用户帐号可写。
  
  /wp-content/ - 可变的补充使用集目录。
  
  /wp-content/themes/ - 主题文件。如果您想要使用内置的主体编辑器,所有的文件都需要共享可写。如果您不想要使用内置的主体编辑器,所有文件可仅对于您的用户帐号可写。
  
  /wp-content/plugins/ - 插件文件:所有文件仅对于您的用户帐号可写。
  
  另外wp-config.php这个文件,其中包含连接wordpress 数据库的用户名与密码,要慎重,只读就行了。网上有朋友说必要的时候可以设置成600,我没试过。

  6、cPanel禁止目录浏览的方法 目录禁止索引   前些日子写过的文章,不然目录暴露出来的方法只限于cPanel

  7、做好定时备份
  
  备份是重中之重!有了备份,到了没办法的时候还可以用删除全部然后恢复的方法来还原博客。
  
  一般需要备份好你的主题文件(themes),插件文件(plugins),上传的媒体文件(uploads),还有最重要的数据库。

最后编辑于:2010/5/16作者: 游子

热爱一切美好的新事物,搞网站也被网站搞,剁手折腾。关注与学习Web相关技术与UI\UE\UED\UCD\Server相关知识,服务器运维、前端、后端、非专业程序猿、非高级前端后端攻城师!

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注

arrow grin ! ? cool roll eek evil razz mrgreen smile oops lol mad twisted wink idea cry shock neutral sad ???