1、升級WordPress到最新版本
% \$ e3 J4 b1 z. C
5 b0 w" b, z+ K3 |- g* a5 @4 ^) m3 d; k% ^
5 q X; Y# |; G9 j1 o4 n
一般來說,新版本的WordPress安全性都會比老版本要好一些,並且解決了已知的各種安全性問題,特別當遇到重大的版本升級時,新版本可能會解決更多的關鍵性問題。(例如老版本WordPress有remv.php重大漏洞,可能會導致遭受DDoS攻擊,升級到最新2.7版本可解決這個問題)# j' |; p5 e$ t7 y) ~
. S( b& g: S% ?! C2、隱藏WordPress版本! R& N+ h& L7 h H! s
編輯你的header.php模板,將裡面關於WordPress的版本信息都刪除,這樣黑客就無法通過查看源代碼的防治得知你的WordPress有沒有升級到最新版本。
0 P8 e2 }" O/ t4 ^' L7 L; `. D
+ O+ S! C0 I* i4 W, g& ]3、更改WordPress用戶名
- D m' Q2 Q# b# f, |" d4 e每個黑客都知道WordPress的管理員用戶是admin,具有管理員權限,會攻擊這個用戶,那麼你需要創建一個新用戶,將其設置為管理員權限,然後刪除老的admin帳號,這就能避免黑客猜測管理員的用戶名。. f: p4 D4 c4 M# Y2 p" q- v
- u t" }# {: ]4、更改WordPress用戶密碼
/ c) ^4 g7 G2 E7 y3 B6 J安裝好WordPress後,系統會發送一個隨機密碼到你的信箱,修改這個密碼,因為這個密碼的長度只有6個字符,你要將密碼修改為10個字符以上的複雜密碼,並盡量使用字母、數字、符號相混合的密碼。) @3 z( A3 J, h% n
9 M& F! N2 ^- ^$ ^ x; H8 k- W5、防止WordPress目錄顯示
$ W7 h/ e8 q z/ ^WordPress會默認安裝插件到/wp-content/plugins/目錄下,通常情況下直接瀏覽這個目錄會列出所有安裝的插件名,這很糟糕,因為黑客可以利用已知插件的漏洞進行攻擊,因此可以創建一個空的index.html文件放到這個目錄下,當然,修改Apache的.htaccess文件也可以起到相同的作用。
8 V1 o- ]3 [2 W! m2 O) q7 D* |7 t' ~) b7 D/ v; m
6、保護wp-admin文件夾
9 a* D' T+ E5 n9 E) I3 l: ~你可以通過限定IP地址訪問WordPress管理員文件夾來進行保護,所有其他IP地址訪問都返回禁止訪問的信息,不過你也只能從一兩個地方進行Blog管理。另外,你需要放一個新的.htaccess文件到wp-admin目錄下,防止根目錄下的.htaccess文件被替換。- w- p0 [( j. K# U" Y
L- A. q7 ]' Q' W! M7 {6 D( N. e7、針對搜索引擎的保護
: L7 @7 }) W0 M; J% Z8 v5 t% g很多WordPress系統文件不需要被搜索引擎索引,因此,修改你的robots.txt文件,增加一行Disallow: /wp-*% X, a) j7 O& }" Q7 }8 t1 I
* U. O& Q3 E a9 b
8、安裝Login Lockdown插件
, b8 `% A, H" Z2 h0 P這個插件可以記錄失敗的登錄嘗試的IP地址和時間,如果來自某一個IP地址的這種失敗登錄超過一定條件,那麼系統將禁止這一IP地址繼續嘗試登錄。, G( B. i5 i9 S/ Q
- d' D, o- [! o! W% l
9、WordPress數據庫安全
6 T% d3 n: w9 j8 O3 A/ |: t數據表最好不要使用默認的wp_開頭,安裝數據庫備份插件,無論做了多少保護,你還是應該定期備份你的數據庫,使用WordPress Database Backup等插件可以實現數據庫的定期備份。
# }" X/ q: u% v! W! M* t# {( `: s
4 c9 L' E) w3 h: a( K' N10、安裝Wordpress Security Scan插件
6 y# b) a( I l+ [這個插件會自動按照以上的安全建議對你的WordPress進行掃瞄,查找存在的問題,使用較為簡單。 |
|
發表於 2008-12-19 12:45:59
提升卡
沉默卡
变色卡