1、升級WordPress到最新版本' o5 H% t |+ Z- b$ K
: ~+ s0 N7 @; F5 @/ m0 B9 s R) H
% i N$ U6 k7 [
" O8 e2 A1 d: f1 \- ^0 w一般來說,新版本的WordPress安全性都會比老版本要好一些,並且解決了已知的各種安全性問題,特別當遇到重大的版本升級時,新版本可能會解決更多的關鍵性問題。(例如老版本WordPress有remv.php重大漏洞,可能會導致遭受DDoS攻擊,升級到最新2.7版本可解決這個問題)
" a- M" k. k0 w9 G/ K! ], T; p1 q9 o9 S( V' E+ \& o: z) [* f
2、隱藏WordPress版本; {: f- D4 [, L+ i1 H; Y/ I
編輯你的header.php模板,將裡面關於WordPress的版本信息都刪除,這樣黑客就無法通過查看源代碼的防治得知你的WordPress有沒有升級到最新版本。% `( n# F2 L% u C7 \6 Z G
2 q, F3 i) M" s# T6 t3、更改WordPress用戶名8 i/ n# X7 _ I+ O
每個黑客都知道WordPress的管理員用戶是admin,具有管理員權限,會攻擊這個用戶,那麼你需要創建一個新用戶,將其設置為管理員權限,然後刪除老的admin帳號,這就能避免黑客猜測管理員的用戶名。
4 U0 B+ S1 q8 g' [1 P: p1 O( n9 [8 G- I& u9 m$ ] c+ {; S' l" I
4、更改WordPress用戶密碼8 c) H' r# U7 E- n! R4 _
安裝好WordPress後,系統會發送一個隨機密碼到你的信箱,修改這個密碼,因為這個密碼的長度只有6個字符,你要將密碼修改為10個字符以上的複雜密碼,並盡量使用字母、數字、符號相混合的密碼。 h1 U0 @. Z! i) \! A5 ~
5 m0 A7 n9 Q( E& _5 A7 U8 N1 P5、防止WordPress目錄顯示
4 s0 w6 ^7 Y$ ^6 x6 bWordPress會默認安裝插件到/wp-content/plugins/目錄下,通常情況下直接瀏覽這個目錄會列出所有安裝的插件名,這很糟糕,因為黑客可以利用已知插件的漏洞進行攻擊,因此可以創建一個空的index.html文件放到這個目錄下,當然,修改Apache的.htaccess文件也可以起到相同的作用。
/ F& c l. t9 b* H# d* H) z* h0 m) k3 J4 {, l1 v
6、保護wp-admin文件夾
- D# a" K, }9 h你可以通過限定IP地址訪問WordPress管理員文件夾來進行保護,所有其他IP地址訪問都返回禁止訪問的信息,不過你也只能從一兩個地方進行Blog管理。另外,你需要放一個新的.htaccess文件到wp-admin目錄下,防止根目錄下的.htaccess文件被替換。4 t4 m7 C7 l0 h+ A4 v' _$ q
# R8 M/ l N6 ~0 s* I4 w( L
7、針對搜索引擎的保護 N) |! P( ?/ [: p, S. ?
很多WordPress系統文件不需要被搜索引擎索引,因此,修改你的robots.txt文件,增加一行Disallow: /wp-*; G# @; ~( g4 x
. K3 l- O* R& T
8、安裝Login Lockdown插件
: o- w; O0 R( B這個插件可以記錄失敗的登錄嘗試的IP地址和時間,如果來自某一個IP地址的這種失敗登錄超過一定條件,那麼系統將禁止這一IP地址繼續嘗試登錄。
+ ~! `' I d& n N- Q! R5 }/ n- R5 n1 p, F
9、WordPress數據庫安全1 D' z5 l" x! N! q
數據表最好不要使用默認的wp_開頭,安裝數據庫備份插件,無論做了多少保護,你還是應該定期備份你的數據庫,使用WordPress Database Backup等插件可以實現數據庫的定期備份。/ E0 ]- y5 H2 \* P7 S% ~4 {
$ e; N; `8 S) c$ `; B: m
10、安裝Wordpress Security Scan插件
! U. y0 n) X* h4 g$ G& }這個插件會自動按照以上的安全建議對你的WordPress進行掃瞄,查找存在的問題,使用較為簡單。 |
|
發表於 2008-12-19 12:45:59
提升卡
沉默卡
变色卡