服務器端和.htaccess0 d1 A+ j* Y; T2 l' N/ o; w
0 ~ `; j* l$ H: C
保護WordPress網站安全的第一步自然是尋找安全的虛擬主機托管商。 服務器安全是所有安全措施的基礎。
) Z- f2 I9 H4 c
9 E: _; Y- C% q+ h* R Q( r鎖定.htaccess5 o+ Z7 C& t. C$ F. d# B
' ?7 X* H0 l5 [2 h5 B.htaccess文件有很多用途,但它最主要的功能,是防止黑客入侵。你可以在.htaccess文件裡指定一些有權登錄你的WordPress 後台的IP地址。
& I" J B3 n. W- `
- W- M4 X" O* \- H; K( x/ Q3 H在.htaccess文件裡加入下面的代碼可以達到這個效果:; D# v: ?% a7 k6 p8 h4 r
* c; E4 d8 _ C, P, ~" ~' ^9 [AuthUserFile /dev/null
6 ]& _$ o3 F1 E7 o# S) @$ R! ]: M4 q, k- U$ E' U
AuthGroupFile /dev/null
# \/ ~& r7 L5 C5 d0 w3 {* e8 R+ V; _ l7 ~& @3 l- I
AuthName 「Access Control」
; ^% _7 E f" v* Y; M
" j1 \4 Q! r8 f5 Z' H" v; q4 U+ z. TAuthType Basic5 T' K% P% x3 a& r
$ K" A7 i) {0 q" @4 [+ }- u ^5 @
order deny,allow
( h1 ?0 S) E; F: u( \8 k( ~$ M8 ?
; ^) @( O( M Udeny from all
- n( { c* O1 x% n1 L# E3 d% R) d, e: t
#IP address to Whitelist- v8 O' w* C8 Z# ^0 c& l# g q' a
/ q2 q" K! M9 u& |2 {$ j! k
allow from 123.456.789.012+ E) k3 A' Z' N( A0 J; x2 c$ ?
8 J' }: T- ~ R. ^# T! a. g+ n i$ y
用你指定的IP地址代替其中的123.456.789.012。
/ o s) A( `4 r3 `5 }- j2 P. r. C2 m/ v6 J8 V$ \: ~
禁用目錄瀏覽
" x$ t! I3 V4 I4 y$ u- k+ i8 D5 n一些服務器設置允許目錄瀏覽,即你可以通過http://yoursite.com/wp-plugins/這樣的鏈接看到自己的插件內容。 要禁用目錄瀏覽,只需要在.htaccess文件裡加上下面的代碼:
- ?: r6 h* S# {2 Q. @6 w: [$ f) f
Options All -Indexes6 P$ ^" B1 d. @) j* ^2 W) q
- V0 _+ G) P7 [8 X; w2 L Y8 r
保護.htaccess* k. i3 I5 k r" J" i
, f4 i- Z. I1 v.htaccess文件的安全保護不容忽視。 首先你可以將文件的權限改為CHMOD 644。通過FTP登錄進入服務器,然後進入網站根目錄(通常是public_html文件夾,除非你為WordPress另設了一個獨立文件夾)。 找到.htaccess文件後右擊文件,將權限設為644。第二種方法是在.htaccess文件的最下部分加上以下代碼:
( o7 u* ^( O0 j( Q6 \4 {" U& h6 E, }! H, }& [4 G1 @
<Files wp-config.php>/ m% z: \# Y4 Z" o% [, ]
Order Deny,Allow6 M" v* q. [1 m+ f, V* B( e0 R3 R
Deny from All
8 I" w x0 o; o, ~9 h `7 {5 V</Files>5 k- R; W& X* ?5 C* h% I
2 o* ?- ^, @% u8 o) R優化wp-config文件
9 W3 c, y2 p- d9 A+ |- ]! f$ m4 b1 }8 d" K
.htaccess文件之後接下來是wp-config.php文件。
0 |, O' @: c# X9 b* M+ X" A7 y" H3 q! q5 @8 L
移動wp-config文件1 ]. u( s" I0 \3 ]
/ g+ x: H+ ~. D) e- o7 w
從WordPress 2.6開始,WordPress用戶可以將wp-config.php文件移到當前安裝文件的上級文件夾中。 如果在當前WordPress目錄下沒有發現wp-config文件,WordPress會自動檢查wp-config文件是否在其上層目錄中。( |8 S- n' r2 _# y
, L; j5 H0 t5 W更改WordPress表前綴
1 b0 Y( q% n2 F- w% {
6 e& M+ O9 G# @' m安裝時WordPress的默認表前綴是wp_。 剛剛安裝完後要修改WordPress表前綴是件很容易的事,但當你的WordPress網站已經運行了一陣子時,修改表前綴就不是那麼容易的事了。 WP Security Scan插件就是為了解決這個問題而出現的。 你可以用這個插件修改默認的表前綴。 這樣攻擊者在試圖進入你的WordPress文件時就又多了一層障礙。
2 m5 X7 J# ^, F9 s4 Z, j) y. l& z/ w: U
定義安全密鑰9 L5 x4 t; o: p0 ~7 J
3 Y" I5 J, T4 }6 g/ I
你可以在wp-config文件中看到下面的內容:
$ S" S2 g8 n% ?/ M4 Y1 q5 X' s8 L- w2 V# \: X
/**#@+
4 j1 X0 Q: L9 T5 G: w, J6 x3 a*Authentication Unique Keys.
3 `; v; M* R% [$ E( v) B* e* Change these to different unique phrases!3 I, ^1 b* b* T% q. w# I: W
* You can generate these using the
+ P/ R+ v! v: b. [$ j3 h' |( U R( n- p. M9 a" O
{@link https://api.wordpress.org/secret-key/1.1/ WordPress.org secret-key service}
, }$ i0 p1 h( t0 T* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
. J; ~1 |2 Z& R9 ~: i0 m! z* l- o4 G
* @since 2.6.0- u( |% E) b& x2 X0 }* }
6 @+ e" [0 ^3 P7 h/ G*/
8 N5 j7 {. ~7 q5 F9 T' y, b) n5 d9 s& a0 s' f
define(『AUTH_KEY』, 『put your unique phrase here』);, L" K7 T- z+ H" \! I: C/ M0 w& e
3 k" B3 y6 U$ n* _+ x5 q
define(『SECURE_AUTH_KEY』, 『put your unique phrase here』);
& E0 ^# P, a7 M( _: ]) S9 e2 A
. ]9 v9 I% n Vdefine(『LOGGED_IN_KEY』, 『put your unique phrase here』);5 j$ m4 _1 Y1 ]1 u" A: F
/ y) {2 G% h+ C0 ~. c3 `7 f. Ndefine(『NONCE_KEY』, 『put your unique phrase here』);8 |1 n6 y& m/ l6 |* t% @
: K b9 d% T. d, Q( y+ s% j
/**#@-*/. C' @$ Y: w1 H X* h, T0 {- Z
9 f" `8 r/ N# x7 E# k9 d/ D代碼中的鏈接給出了一套密鑰規則,你可以用所給的規則來代替代碼中的四行define規則。: k Q6 b* @( L9 ?6 q9 l/ P. A" ]
9 g9 U- x3 E: k. DWordPress安全插件
V8 o6 }" x; x0 D
4 `' F s2 R L值得慶幸的是,WordPress擁有為數不少的安全插件。 下面只介紹一些最基礎最重要的安全插件。9 m; T% U% V! g3 `1 u0 e
! w( k2 q% e) X# h XWP Security Scan插件3 F% t+ t( y4 E6 [% t! N! v
# g$ b) k4 H" NWP Security Scan插件會查看你的WordPress安裝文件,看是否有安全漏洞並給出相應的意見。 該插件的查看範圍包括:: t7 V& C4 y4 O9 ]4 r! e
+ u% v5 j! S4 s) R$ Q1、密碼6 g- [" q' x/ _3 t0 p1 r, n4 m0 o
2、文件權限
; P) Q6 l( u! z8 N& ~0 f s3、數據庫安全
) a6 X; n; p9 I2 |: @4、版本號的隱藏
8 y! d) h1 p# h! Y5、WordPress後台安全3 E3 `8 H+ f7 N% Z
6、從核心代碼中移除WP Generator META標籤6 j+ r! C+ F- ^, S
2 U, ?7 |- m- t( P4 w/ hLogin LockDown WordPress Security 安全插件
4 B# q5 ? e* h" _- z) u( S. W3 T
+ d# |8 A% I! E& z, W7 T* TLogin LockDown記錄嘗試登陸WordPress失敗的所有IP地址和時間。 如果插件發現短時間內同一個IP段內多次登錄失敗,插件會對禁止該IP段內所有登錄請求。 Login LockDown有效阻止了暴力破解密碼。) N$ M0 N: o' y) `
' Q" x% m+ M% O' W/ k. d, i# ?2 Z, |. X2 ^1 o; t- e9 z4 e3 |7 j$ \
Stealth Login插件
# l' s/ p9 Z& ~3 s1 {+ `% Y; R0 E. }" b
用戶可以通過這款插件自定義登錄、登出、註冊所用的URL。1 y( d2 O! h1 W1 u
! u6 c6 |; C1 x( [# |AntiVirus for WordPress插件
, \' O3 F/ e$ O/ x% K3 U4 |3 q2 Y$ @* ^ Y# \# H
AntiVirus for WordPress是一款保護Blog不被採集和垃圾評論入侵的有效插件。 這款插件的用途包括: 檢測可能存在的平台漏洞、病毒感染、惡意鏈接等。AntiVirus for WordPress還可以給你發送郵件通知和白名單。安全預防措施
. Q0 h8 [) _* e3 l0 s0 S: e8 l$ T) G2 N1 S
以下是一些簡單的安全預防措施:; ?, T/ L+ J* R( z& @# k
" x* v9 w! Q" A0 X) b+ j3 f- b
1、時將WordPress和插件都更新到最新版本
) |/ m* Q* C/ S" o; c9 p2、除不用的WordPress主題和插件" ~4 u& p+ u& k" s+ `" [
3、用安全程度較高的密碼
- J/ Q, o/ M( S" S& S" F/ z4、使用「admin」為登錄名; N7 E: _2 F7 m J! ?5 L9 k
5、WordPress文件規定正確的文件許可權限6 K2 C5 G1 @0 O. |
6、期備份WordPress數據庫(可利用備份插件) |
|
發表於 2010-5-27 13:32:36
提升卡
沉默卡
变色卡