1、升級WordPress到最新版本
; q U0 G/ [( z4 a" l5 v' S
& a7 ]3 Q& T0 W4 ^1 ~2 W1 t; B0 J5 A# k2 b" U P0 {/ U
& ^+ }; J* H! J5 }7 i* e1 L! t0 ^
一般來說,新版本的WordPress安全性都會比老版本要好一些,並且解決了已知的各種安全性問題,特別當遇到重大的版本升級時,新版本可能會解決更多的關鍵性問題。(例如老版本WordPress有remv.php重大漏洞,可能會導致遭受DDoS攻擊,升級到最新2.7版本可解決這個問題)
6 ^& |% I" l4 S& }8 ~, I5 j7 U# V2 K6 E; c) t$ S
2、隱藏WordPress版本
, N8 p; B4 n2 Y1 E+ X4 S! X編輯你的header.php模板,將裡面關於WordPress的版本信息都刪除,這樣黑客就無法通過查看源代碼的防治得知你的WordPress有沒有升級到最新版本。4 K2 W* H5 g8 s; m; f5 Y, z
+ }" S( }3 z: g% R1 b$ W
3、更改WordPress用戶名) W9 U, K8 y/ [' Q, u
每個黑客都知道WordPress的管理員用戶是admin,具有管理員權限,會攻擊這個用戶,那麼你需要創建一個新用戶,將其設置為管理員權限,然後刪除老的admin帳號,這就能避免黑客猜測管理員的用戶名。
5 Y) X6 A4 |+ w. L5 q1 f: u$ ~
+ @4 I3 C" J( @- @$ p' x+ r4、更改WordPress用戶密碼
" s( B! |" p2 z安裝好WordPress後,系統會發送一個隨機密碼到你的信箱,修改這個密碼,因為這個密碼的長度只有6個字符,你要將密碼修改為10個字符以上的複雜密碼,並盡量使用字母、數字、符號相混合的密碼。
& s1 ~5 w2 M( y1 n! K
( P+ s3 Y1 A d, Y5、防止WordPress目錄顯示
6 X' d0 w2 D: _WordPress會默認安裝插件到/wp-content/plugins/目錄下,通常情況下直接瀏覽這個目錄會列出所有安裝的插件名,這很糟糕,因為黑客可以利用已知插件的漏洞進行攻擊,因此可以創建一個空的index.html文件放到這個目錄下,當然,修改Apache的.htaccess文件也可以起到相同的作用。: ^: \ n O# P5 C/ J$ y
/ J4 R7 M2 |) d6、保護wp-admin文件夾 ~$ W, K! ?* K/ B7 L( h4 R
你可以通過限定IP地址訪問WordPress管理員文件夾來進行保護,所有其他IP地址訪問都返回禁止訪問的信息,不過你也只能從一兩個地方進行Blog管理。另外,你需要放一個新的.htaccess文件到wp-admin目錄下,防止根目錄下的.htaccess文件被替換。
) ~' B' O" n7 |/ L* j4 Q
( U g' q- m# k: H( o9 O7、針對搜索引擎的保護5 A" N7 Q9 @! W3 N% e
很多WordPress系統文件不需要被搜索引擎索引,因此,修改你的robots.txt文件,增加一行Disallow: /wp-*
4 v0 O) c7 r' e* s' y+ q
( M; w4 Q5 I4 t. x8、安裝Login Lockdown插件
7 w& H4 p+ G+ w+ D( n1 q& t* a這個插件可以記錄失敗的登錄嘗試的IP地址和時間,如果來自某一個IP地址的這種失敗登錄超過一定條件,那麼系統將禁止這一IP地址繼續嘗試登錄。" Z0 o3 }% @1 }. l6 I. W
- C- S( H. X% [" V9、WordPress數據庫安全" |4 x& {0 p$ x$ s; b- n, t
數據表最好不要使用默認的wp_開頭,安裝數據庫備份插件,無論做了多少保護,你還是應該定期備份你的數據庫,使用WordPress Database Backup等插件可以實現數據庫的定期備份。+ R4 Y9 k( C- x4 x1 J" E5 E
- J8 f" ^1 G1 ^' X
10、安裝Wordpress Security Scan插件
& _$ b, d0 V% w3 r這個插件會自動按照以上的安全建議對你的WordPress進行掃瞄,查找存在的問題,使用較為簡單。 |
|
發表於 2008-12-19 12:45:59
提升卡
沉默卡
变色卡