服務器端和.htaccess
0 e: m, ], y) _" P, o5 Q9 n- `
/ A( r0 i3 a" v( B6 t' l. a+ N保護WordPress網站安全的第一步自然是尋找安全的虛擬主機托管商。 服務器安全是所有安全措施的基礎。
9 b5 |. b4 M! t5 n1 i8 W* Z9 l3 k# f& M7 a) h+ b
鎖定.htaccess% p! B$ m& T2 l
) m. z% \ R0 {% U. @; g
.htaccess文件有很多用途,但它最主要的功能,是防止黑客入侵。你可以在.htaccess文件裡指定一些有權登錄你的WordPress 後台的IP地址。
3 e6 _( N# H9 N) F& f. }3 U3 R9 U/ Z8 _8 N# M
在.htaccess文件裡加入下面的代碼可以達到這個效果:
. N1 a' B' i2 P1 s" ]: R) k. n! K3 O9 C
AuthUserFile /dev/null
0 M! m8 x7 x, n& W$ N' a- b8 {1 d' h- {5 U, |4 A
AuthGroupFile /dev/null
% D [& G$ |8 F! o' j/ r
& H) `+ N) A% t0 mAuthName 「Access Control」/ W, W4 a; M- u+ U+ |- Y; x4 t
* M/ j1 [& D/ V% \( ?
AuthType Basic
3 a& H8 h$ K; F0 b% e+ m; p% s2 h& p7 v$ w/ U' h5 t& k
order deny,allow) K6 Q" K& O3 ^) n% \2 ^
, j: W) l: T9 p K8 Q8 Q# P1 Q0 f( J& H
deny from all
$ Z. N# r& O. l% h! A/ @: P# w) m
$ X7 Z# v; Q. e8 _#IP address to Whitelist" Z7 ?5 c! F) |) }: D/ n0 {
) Y5 f" A8 i6 X2 N
allow from 123.456.789.012
9 d9 D: \" ]+ \( w, M5 U
; s, a* S5 R+ P& U- a用你指定的IP地址代替其中的123.456.789.012。# |, l2 Y+ C$ w1 u5 N! q
/ e* |: t o5 e, q禁用目錄瀏覽
* q/ V" k6 t* |, E( T: k4 M3 |一些服務器設置允許目錄瀏覽,即你可以通過http://yoursite.com/wp-plugins/這樣的鏈接看到自己的插件內容。 要禁用目錄瀏覽,只需要在.htaccess文件裡加上下面的代碼:* A* X+ L# D9 r" ?. ?
7 z9 c* x$ G- i5 s
Options All -Indexes
, P" I) U4 M- J( x" M* [
; X8 e6 }" G% I保護.htaccess3 j; _( N" e0 I5 r& I
8 N3 Q, c$ L9 j4 i4 n. e, ~
.htaccess文件的安全保護不容忽視。 首先你可以將文件的權限改為CHMOD 644。通過FTP登錄進入服務器,然後進入網站根目錄(通常是public_html文件夾,除非你為WordPress另設了一個獨立文件夾)。 找到.htaccess文件後右擊文件,將權限設為644。第二種方法是在.htaccess文件的最下部分加上以下代碼:
$ H# n/ @( ~5 t; k0 y: E5 O
# _ x( j& w8 K: ?<Files wp-config.php>
5 r* J# }0 |' z$ gOrder Deny,Allow2 S4 I" V9 a7 c+ W( Q
Deny from All
. D' ?4 i$ C' t! |</Files># `6 |' ], d1 c- O5 Z- O
3 \# ^" y: k* k優化wp-config文件
* V& F% C# S. l
3 n' H) Q& R g& D) {1 W$ R5 d1 {.htaccess文件之後接下來是wp-config.php文件。
" ^* a: N3 K$ ~2 j0 `! d) K+ ]$ D: ^9 o6 `* x
移動wp-config文件
/ S) i2 k# j, D4 R. w
/ ~' s, T7 M) F E$ ^8 y5 c4 c$ Y從WordPress 2.6開始,WordPress用戶可以將wp-config.php文件移到當前安裝文件的上級文件夾中。 如果在當前WordPress目錄下沒有發現wp-config文件,WordPress會自動檢查wp-config文件是否在其上層目錄中。3 S# f, ]5 M2 T3 W6 l- l! Y' H% @) I
2 c# @! i0 B6 t4 c& a7 c' w更改WordPress表前綴
7 [+ t3 L+ W B3 j2 h
B: H% G6 K% Y( D安裝時WordPress的默認表前綴是wp_。 剛剛安裝完後要修改WordPress表前綴是件很容易的事,但當你的WordPress網站已經運行了一陣子時,修改表前綴就不是那麼容易的事了。 WP Security Scan插件就是為了解決這個問題而出現的。 你可以用這個插件修改默認的表前綴。 這樣攻擊者在試圖進入你的WordPress文件時就又多了一層障礙。
0 b+ X0 C5 p- t2 t* \! f' ?. G# u0 R$ t7 l8 f( h
定義安全密鑰
5 h; f% q8 P# z8 a% ?7 M7 P. u6 ^, V6 m$ v) f8 ]
你可以在wp-config文件中看到下面的內容:
4 G! }4 [# o' [, p0 }; \) e2 O
% R* O" I4 l% h6 z0 `- {; c( q/**#@+
) {7 Q9 p* ]5 R8 e: ~- V*Authentication Unique Keys.
9 Q( y* E4 s; R8 a" P% \: ]8 w3 C* Change these to different unique phrases!
; t2 K; r: Y$ [. M* You can generate these using the4 |! ?. P, t, L* k& `4 z
& v) K9 o1 L7 u& ^+ t/ K
{@link https://api.wordpress.org/secret-key/1.1/ WordPress.org secret-key service}
: h+ J2 u; j; |5 |* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
; |7 O1 h: J+ l3 D! e3 T" o
9 a9 H3 L# x( l4 y$ K* @since 2.6.0/ ?( ]/ L" M( o( W2 p% |2 o& p
" E( l* `5 ~% J1 S5 D
*/
. |/ R/ G+ w m+ f N6 A0 b) x4 s; T
define(『AUTH_KEY』, 『put your unique phrase here』);
, F- A8 K9 o9 p* {
$ O! y/ H; `4 ?9 b" I* [6 E1 I Q5 idefine(『SECURE_AUTH_KEY』, 『put your unique phrase here』); n1 P& } Z( s" m
; c" u# C3 Y# F# E+ m5 Sdefine(『LOGGED_IN_KEY』, 『put your unique phrase here』);1 ~- Y3 S5 w$ a4 Y5 t
8 X9 A j* U# } b2 U
define(『NONCE_KEY』, 『put your unique phrase here』);* R ?1 z& A7 [ r5 B. [( d
/ f2 D1 G% Q% Q9 C5 ]: J0 \( N
/**#@-*/
5 M2 u. s" R1 I* l" U
+ l; [; I* F6 Y代碼中的鏈接給出了一套密鑰規則,你可以用所給的規則來代替代碼中的四行define規則。
$ V# D5 g6 p1 g. n n: V4 q$ k( X+ N( g/ }3 x% n
WordPress安全插件
# G: e) D& X8 f, X! M2 C @: w- Q- f0 r
值得慶幸的是,WordPress擁有為數不少的安全插件。 下面只介紹一些最基礎最重要的安全插件。
4 m1 `& E0 ^$ h' K: G. _7 } q' ^
5 i3 [/ s# U/ u3 z7 }+ h( fWP Security Scan插件
) e8 W. v' T/ f
" W) o( V3 [0 e8 b( M/ J, M7 wWP Security Scan插件會查看你的WordPress安裝文件,看是否有安全漏洞並給出相應的意見。 該插件的查看範圍包括:9 h& v8 ~. P8 q4 b2 d
) ~# [6 v" c. ]% y
1、密碼
9 e/ e+ ^; W$ b, M2、文件權限
/ ]6 }& v3 a$ ]- @9 Y/ _( p3、數據庫安全
" l& c% {, K3 j4、版本號的隱藏7 @) m5 H7 V8 z H: t* X8 b
5、WordPress後台安全- f2 X5 Y6 k$ m' \8 _& c
6、從核心代碼中移除WP Generator META標籤
. Z' c% @) i. M3 Y ~2 w& S1 c
& f& O( S' V7 H% F2 VLogin LockDown WordPress Security 安全插件/ C, n8 J6 B: f8 w& ?
% e7 H3 K! z( q3 g4 WLogin LockDown記錄嘗試登陸WordPress失敗的所有IP地址和時間。 如果插件發現短時間內同一個IP段內多次登錄失敗,插件會對禁止該IP段內所有登錄請求。 Login LockDown有效阻止了暴力破解密碼。
5 u: v! n% {$ j. m$ S8 \
& a; S7 U& {# l& |
" r* O6 I+ v! y8 R! e' ]Stealth Login插件5 [* a0 d' K' O0 Y3 W2 y
1 ]8 O+ W/ p* j" z# E3 N, p用戶可以通過這款插件自定義登錄、登出、註冊所用的URL。
D) K- W, r) m8 \9 G
5 v% i) Y8 F, u/ SAntiVirus for WordPress插件
3 [/ r7 B& F9 q# y6 O) `* z% G
. {! m* o& q/ w8 Z, b& FAntiVirus for WordPress是一款保護Blog不被採集和垃圾評論入侵的有效插件。 這款插件的用途包括: 檢測可能存在的平台漏洞、病毒感染、惡意鏈接等。AntiVirus for WordPress還可以給你發送郵件通知和白名單。安全預防措施! X" v8 O! J8 _$ ^8 F: u6 E
8 s" f1 b4 R, {" M+ X% k+ ~
以下是一些簡單的安全預防措施:' s* J; U3 o% Q, r7 b
$ P5 C; y6 O, n4 F3 Z% m# F) g) I1、時將WordPress和插件都更新到最新版本* c( s1 X& ]( @2 d$ ]; y! A: f
2、除不用的WordPress主題和插件
9 g9 U( a& C o- r' a/ i o3、用安全程度較高的密碼0 h) d) q* C6 K+ ^/ h! ~: v
4、使用「admin」為登錄名
! R# o [0 e+ k1 r9 C5、WordPress文件規定正確的文件許可權限
+ t+ [9 {2 J O. M2 `6、期備份WordPress數據庫(可利用備份插件) |
|
發表於 2010-5-27 13:32:36
提升卡
沉默卡
变色卡