本帖最後由 夢雨 於 2013-6-20 15:25 編輯 0 S N" N% \! Y x
# \. z) A% c( X$ z
如何提高WordPress站點安全? " m1 |4 w3 P$ s) q
如何提高WordPress站點安全,是我們每個WordPress用戶需要重視的問題。網站安全涉及主機服務器和WordPress源碼等方面。 # B* ?/ o0 F" f5 c0 s( j% R
1.選擇安全可靠的主機 3 `3 w& U" \$ H0 x
謹慎選擇一款安全可靠的主機,不要使用免費主機和劣質主機。免費主機只適合用來學習程序和建站方法,但是不建議使用免費主機來托管正式上線的網站。當然了,最好也不要使用那些特別廉價,管理經驗不足的主機商的服務。
& c; n1 t+ s" ?$ `# A2.升級到WordPress最新版 9 A4 Z& I$ b# D
只從WordPress官方下載源碼,不要到第三方網站下載。盡可能升級到WordPress最新版,及時修補程序漏洞,包括WordPress核心源碼、WordPress主題以及WordPress插件。 ( U4 F; h/ r% T8 y& i- t @
3.使用官方WordPress主題和插件
& r* I+ ]9 {2 M; ~0 f+ n這裡所說的官方,一是WordPress官方,二是主題或插件開發者的官方,盡量避免使用「破解」版主題、插件,慎用網上傳播的原本是收費,但是被人惡意提供免費下載的主題、插件。
' X* u7 k* U: U M, v4.修改數據庫默認前綴 wp_ : C0 U$ Z/ {# `8 }6 t
很多朋友安裝WordPress都沒有修改數據庫前綴,如果你打算修改默認的前綴 wp_ ,請根據 如何修改 WordPress 數據庫前綴 來修改。 ( |: c, S; G+ [) K$ D: b; C3 U/ ~
5.修改默認的用戶名 admin 5 J: Z- q" D4 A+ _
WordPress3.* 以上已經支持安裝時自定義登錄用戶名,如果你使用默認的admin,建議你根據下面的方法進行修改: 1 S" o0 X7 } d/ V
方法一:後台新建一個用戶,角色為管理員,然後使用新用戶登錄,刪除默認的 admin 用戶。 b ~# ^9 f# s8 U
方法二:登錄phpmyAdmin,瀏覽當前數據庫的 wp_users 數據表,將user_login 和user_nicename 修改為新用戶名。 ' C' K6 } ^) p
同時建議修改 「我的個人資料」中的的暱稱,然後設置「公開顯示為」非用戶名的其他方式:
7 J0 t! w1 k6 V4 g3 l
& h7 w7 W# P e- u% n/ Z/ I+ y" U0 g( o: ^$ i# G
6.使用高級密碼,經常更換密碼 ( ^& q% q0 t/ }7 y! N3 Q, E6 T0 a
建議使用含 大寫字母、小寫字母、數字和其他符號 的複雜密碼,比如nuH4j&*aHG%dMz ,避免使用生日、手機號、QQ號等。
- ^: a7 `0 \8 l; N ` T7.隱藏WordPress版本信息 0 X4 n B/ o a0 i z
默認情況下會在頭部輸出WordPress版本信息,你可以在主題的 functions.php 最後一個 ?> 前面添加:
8 V% n/ W* Q! K; ^. k, D2 c
. S/ K L( k6 S& I* q5 L8.修改wp-admin目錄的訪問權限 6 t8 w: w; G0 V$ E }. e# ?% _
你可以通過限定IP地址訪問WordPress管理員文件夾來進行保護,所有其他IP地址訪問都返回禁止訪問的信息。另外,你需要放一個新的.htaccess文件到wp-admin目錄下,防止根目錄下的.htaccess文件被替換。
2 ?7 B: W6 q; b! M$ H! z9.定期備份網站數據
. s4 X. @9 m$ F1 J0 R- V# d可以借助WordPress備份插件進行自動備份或手動備份: - v" F4 b; U3 p7 }
WordPress數據庫定時備份插件:WordPressDatabase Backup ! j9 h" R/ h( U: Z$ k
使用WordPress自帶導出導入功能備份和恢復網站 ' Z! o; f' }3 ^9 {3 ^9 ?: m6 h
WordPress克隆/備份/搬家插件:WP Clone 4 V9 I7 G3 a5 ?& J- o5 M5 r5 | q
WordPress超強備份插件:BackWPup(支持FTP/Email/本地/網盤)
) \+ b; j& _( I3 @# L! G10.安裝安全插件
5 D9 h* \$ a4 v2 K' P. h- iWordPressFirewall 2
$ v. e; C% o$ I }0 h/ l, o1 X) n該插件可以幫助你識別/阻止一些有效的攻擊,例如 目錄掃瞄、SQL注入、WP文件掃瞄、PHPEXE掃瞄 等,並可將其定向到404或者首頁。如果有問題還可以通過電子郵件通知你處理,還可以阻止一些IP的訪問。 & N' u7 |5 }# Y8 ^- ~8 W
Better WPSecurity 2 p5 p4 b# M8 I: Y- z
由於大多數的WP網站存在插件漏洞、弱口令、過時的插件/程序,隱藏這些漏洞可以更好的保護網站,例如保護登錄和管理區(控制面板?儀表盤?)。
' ~- a2 A3 f1 E9 l) R* [Login Lockdown
. }' ^0 z c- @' [& F這個插件可以記錄失敗的登錄嘗試的IP地址和時間,若是來自某一個IP地址的這種失敗登錄超過一定條件,那麼系統將禁止這一IP地址繼續嘗試登錄。 . ~+ y' l; _5 I3 j2 M9 w3 I
Limit LoginAttempts 6 c0 B6 s: l7 j
LimitLogin Attempts 限制登錄嘗試的次數來防止暴力破解,增強WordPress 的安全係數。
+ j/ [% |3 [7 Z8 MWP Security Scan 4 k0 s# _, R/ a& ]. P$ A8 d
該插件會自動按照以上的安全建議對WordPress進行安全掃瞄,查找存在的問題。 引用原文:http://www.wpdaxue.com/improve-wordpress-security.html
" L7 }' n: v2 B# k0 @& l7 D5 M" ^; W3 S" X
& g E+ n4 ?* L' ~# y) `+ L% [
) Z/ ]& |$ `. S* l | 
發表於 2013-6-20 15:22:31
提升卡
沉默卡
变色卡
。。。。。。。