1、升級WordPress到最新版本
" t8 j. W4 m) R ]& Z! c+ H' h4 a( U; B/ X( O
+ O1 j. H! S X. D3 A/ G3 d0 m% v
* m* V, o D7 D/ o
一般來說,新版本的WordPress安全性都會比老版本要好一些,並且解決了已知的各種安全性問題,特別當遇到重大的版本升級時,新版本可能會解決更多的關鍵性問題。(例如老版本WordPress有remv.php重大漏洞,可能會導致遭受DDoS攻擊,升級到最新2.7版本可解決這個問題)
* n! H! i, q+ N2 b) d
5 q8 u( y: A5 b! z2 R! M2、隱藏WordPress版本
( _- o5 q5 U, P8 h編輯你的header.php模板,將裡面關於WordPress的版本信息都刪除,這樣黑客就無法通過查看源代碼的防治得知你的WordPress有沒有升級到最新版本。! ^/ ~9 ?% D5 z" ]1 x
5 b1 G1 R Y2 A) I/ N8 c, W3、更改WordPress用戶名
) F! Y* H) l0 L0 Y4 l. n g每個黑客都知道WordPress的管理員用戶是admin,具有管理員權限,會攻擊這個用戶,那麼你需要創建一個新用戶,將其設置為管理員權限,然後刪除老的admin帳號,這就能避免黑客猜測管理員的用戶名。
8 L9 T4 m/ q6 J2 a" t4 s
9 X; h! D+ S$ g; n" t# w/ K4 x4、更改WordPress用戶密碼: v& O0 Y A5 b' P
安裝好WordPress後,系統會發送一個隨機密碼到你的信箱,修改這個密碼,因為這個密碼的長度只有6個字符,你要將密碼修改為10個字符以上的複雜密碼,並盡量使用字母、數字、符號相混合的密碼。
& }7 e! G8 }/ b6 q2 X0 W4 R- G. d1 d" t1 R1 D/ N
5、防止WordPress目錄顯示
5 I( e4 w' J: M$ Y5 Y F9 ZWordPress會默認安裝插件到/wp-content/plugins/目錄下,通常情況下直接瀏覽這個目錄會列出所有安裝的插件名,這很糟糕,因為黑客可以利用已知插件的漏洞進行攻擊,因此可以創建一個空的index.html文件放到這個目錄下,當然,修改Apache的.htaccess文件也可以起到相同的作用。
# b$ j+ ^. m3 r- X: v, X! h+ H+ u. ?2 ~" K2 B* z
6、保護wp-admin文件夾
& ~, R7 i1 {! L7 l你可以通過限定IP地址訪問WordPress管理員文件夾來進行保護,所有其他IP地址訪問都返回禁止訪問的信息,不過你也只能從一兩個地方進行Blog管理。另外,你需要放一個新的.htaccess文件到wp-admin目錄下,防止根目錄下的.htaccess文件被替換。
2 }8 K6 [/ g! \% m3 u2 A4 J- c) r
3 d' t$ a' i9 i8 f, `7、針對搜索引擎的保護/ I3 K; |+ X& j* q$ Z; D
很多WordPress系統文件不需要被搜索引擎索引,因此,修改你的robots.txt文件,增加一行Disallow: /wp-*
; D) u9 {! Q0 @) D# w, {0 s9 _0 g6 s
' M& R# Y) P @2 ?8、安裝Login Lockdown插件
3 A6 T9 R1 p% p) T0 V' _6 J. p這個插件可以記錄失敗的登錄嘗試的IP地址和時間,如果來自某一個IP地址的這種失敗登錄超過一定條件,那麼系統將禁止這一IP地址繼續嘗試登錄。
! P0 T' y' o/ Y1 u9 E+ o
" j- _4 P1 O; U2 E" o+ X# D9、WordPress數據庫安全% S2 ?; g* q- o7 J) [' P a% C
數據表最好不要使用默認的wp_開頭,安裝數據庫備份插件,無論做了多少保護,你還是應該定期備份你的數據庫,使用WordPress Database Backup等插件可以實現數據庫的定期備份。( q' q7 p4 Y- D' ~
4 m9 ?9 U e& a10、安裝Wordpress Security Scan插件
- _7 P: }: ]+ R$ p# c3 ^這個插件會自動按照以上的安全建議對你的WordPress進行掃瞄,查找存在的問題,使用較為簡單。 |
|
發表於 2008-12-19 12:45:59
提升卡
沉默卡
变色卡