服務器端和.htaccess7 y& I% Y/ Y5 O' Y' }
" o$ t1 W0 E6 Q8 e3 d" e保護WordPress網站安全的第一步自然是尋找安全的虛擬主機托管商。 服務器安全是所有安全措施的基礎。
6 a: J# _% f( Z9 O
$ q' y0 Y" m9 Z/ G# [鎖定.htaccess
T8 r8 {, `% u! b; H- ] o6 o7 F, L5 H; k( m
.htaccess文件有很多用途,但它最主要的功能,是防止黑客入侵。你可以在.htaccess文件裡指定一些有權登錄你的WordPress 後台的IP地址。
N- V% c. m, b9 @- ~0 x5 |9 ]4 B! D6 s9 a2 {) B1 T* s
在.htaccess文件裡加入下面的代碼可以達到這個效果:
: c# ^9 B6 a3 H) G: L0 s% t: S. J" O, C# g# O5 W! [
AuthUserFile /dev/null& `+ H6 z+ }' _( ^
% K8 U, ]3 C. q: B) v, t4 OAuthGroupFile /dev/null
( N2 E4 T# u' R2 R5 b5 Y; F, k/ a0 S5 |' [8 S# ^7 f3 Q
AuthName 「Access Control」
# B) q. y0 G5 t. K4 h1 f& j
5 y8 X" @' x1 E0 Z( OAuthType Basic
4 _+ N# `( o: H. S9 a i
4 u n2 v8 k O1 S' O1 R- Q3 e0 R. Norder deny,allow
* G% T. T& h; ^' Z4 _9 q! m: i; j* i( P% r& l! O B9 m# S; W
deny from all$ v' j. A2 j! ~: R$ G
+ f+ ~9 D- Q( T b9 s; }% s#IP address to Whitelist
" d+ v& F$ ?: ~! C) n. \# e
) w+ |: W/ X6 l+ w& Sallow from 123.456.789.012/ [9 s% E5 ^4 z$ v+ A _. [
" Y X$ u/ j' U用你指定的IP地址代替其中的123.456.789.012。
+ F. M$ c! U; T4 Y! {( G7 m- X- k# E2 e1 D, L
禁用目錄瀏覽
" h2 B" X, J$ f: c一些服務器設置允許目錄瀏覽,即你可以通過http://yoursite.com/wp-plugins/這樣的鏈接看到自己的插件內容。 要禁用目錄瀏覽,只需要在.htaccess文件裡加上下面的代碼:
6 w! r, _* K7 N9 ^- j. x/ E" r0 D5 Z0 N# |
Options All -Indexes- r7 `9 E8 _5 u5 U, U
& n8 a; s; e% E: T
保護.htaccess- H6 J) x: L! V, Z% N5 R- y; {
0 Z" |4 [/ V) G. ~+ {# P' J
.htaccess文件的安全保護不容忽視。 首先你可以將文件的權限改為CHMOD 644。通過FTP登錄進入服務器,然後進入網站根目錄(通常是public_html文件夾,除非你為WordPress另設了一個獨立文件夾)。 找到.htaccess文件後右擊文件,將權限設為644。第二種方法是在.htaccess文件的最下部分加上以下代碼:( P( W# |3 E6 e# x
X1 G' J' O3 `; I/ e0 M H<Files wp-config.php>% Y0 o: y0 u( U' c
Order Deny,Allow
& @) f2 E* c! g5 U5 P& {: lDeny from All
3 [! j/ T+ U' k6 a</Files>
$ z; Z/ d' X' @
: U' g: H- B- r3 Y. Z優化wp-config文件: N7 E$ N4 N' N( \" k7 c
8 V/ `( [5 u! O! t! z$ I.htaccess文件之後接下來是wp-config.php文件。
" U) x; ]. U& b/ w- z) R
: s! e) Q+ J! F# b/ T+ J' C3 l移動wp-config文件* k. N, k* V' I* N Z5 S, y
5 e+ T7 L1 F3 a0 U) J
從WordPress 2.6開始,WordPress用戶可以將wp-config.php文件移到當前安裝文件的上級文件夾中。 如果在當前WordPress目錄下沒有發現wp-config文件,WordPress會自動檢查wp-config文件是否在其上層目錄中。0 j% O5 I u0 p& u" w/ y3 h, p, ^( i
, `& Y6 w8 \ G. s* n
更改WordPress表前綴
) h; F; O' u0 D5 Y/ c; z& r% E9 [# [ B I9 a1 [
安裝時WordPress的默認表前綴是wp_。 剛剛安裝完後要修改WordPress表前綴是件很容易的事,但當你的WordPress網站已經運行了一陣子時,修改表前綴就不是那麼容易的事了。 WP Security Scan插件就是為了解決這個問題而出現的。 你可以用這個插件修改默認的表前綴。 這樣攻擊者在試圖進入你的WordPress文件時就又多了一層障礙。
6 A8 m* ?! b H9 S' f! s+ B% P+ f( o/ ~
定義安全密鑰( @5 C. _ Q; C5 m" e; m7 R* P" O
/ ~* H8 c% N) o6 l
你可以在wp-config文件中看到下面的內容:7 Q A" u! S1 ^! o m# O
$ q2 j; f( G3 e/**#@+
' p. H$ M. u- y1 S, s1 z( p4 g+ w*Authentication Unique Keys.! m5 b+ @' A; F( Z7 L! k
* Change these to different unique phrases!1 M# o" g b' V1 w
* You can generate these using the# \, a! r3 Y: X& j) z. {# M5 } {
9 I/ e! d( Z0 {$ q8 R{@link https://api.wordpress.org/secret-key/1.1/ WordPress.org secret-key service}
7 E/ s, t5 f8 q, y: H" w* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.. C+ e4 P% [" ]. T
2 e( m& I: Q/ E q
* @since 2.6.0) J/ B# R/ h2 v+ u7 S4 R2 p
3 v% p3 h/ F C, s% `6 [& p& @
*/
) b; g0 k/ Q. \; K; d6 _4 k# G2 R: ?8 d( A
define(『AUTH_KEY』, 『put your unique phrase here』);
, U [$ w( L6 C. n: ]& W2 |/ @( n9 T1 {/ V
define(『SECURE_AUTH_KEY』, 『put your unique phrase here』);
5 @& j; \$ D3 M
9 P, O4 Y G1 H4 v( a3 \define(『LOGGED_IN_KEY』, 『put your unique phrase here』);
; y4 o6 v, y* y/ f L& C/ d9 v5 C. D0 t
define(『NONCE_KEY』, 『put your unique phrase here』);' ~) I1 a9 [* g. d" c- j( S
9 `7 q0 i" F* A8 s/**#@-*/
- T' Y: M9 e9 r( l8 u {6 k: ~: l K, R+ J& o% H
代碼中的鏈接給出了一套密鑰規則,你可以用所給的規則來代替代碼中的四行define規則。6 i! q: x5 m% s p1 `7 U2 }
. D7 L, s" o3 e# K
WordPress安全插件
6 s, d$ Z' ?6 `4 W" t3 m0 ^. t' t1 c7 ~6 ~. e+ M
值得慶幸的是,WordPress擁有為數不少的安全插件。 下面只介紹一些最基礎最重要的安全插件。
1 i; @6 \9 b. e. }
, c2 \3 V; T( C, r1 A: {- l5 wWP Security Scan插件
( U3 B+ l i/ e$ B
% S8 b4 M: N# K/ E# v* J y9 ?WP Security Scan插件會查看你的WordPress安裝文件,看是否有安全漏洞並給出相應的意見。 該插件的查看範圍包括:
8 F' d/ [* \ K5 V* l/ {
+ {1 Q3 N: B) W: ?, x) R0 ~1 `1、密碼
/ R5 `! N3 X* h$ P1 z2、文件權限# V! y) [. m C( f: `4 F U3 V
3、數據庫安全0 K5 W3 Z4 a" D* s" ]
4、版本號的隱藏
3 l7 b6 S3 { }6 B5、WordPress後台安全
" X. [. y7 y; F6、從核心代碼中移除WP Generator META標籤
/ p" N3 Z% u' G- E' \$ o5 @+ C; d: Z6 V4 j" w: K, C
Login LockDown WordPress Security 安全插件) K7 {: I1 ^0 w: ]9 d* ]
; V; j0 L. ? N8 O
Login LockDown記錄嘗試登陸WordPress失敗的所有IP地址和時間。 如果插件發現短時間內同一個IP段內多次登錄失敗,插件會對禁止該IP段內所有登錄請求。 Login LockDown有效阻止了暴力破解密碼。4 y4 y$ c- a- [' ^ _
9 u, s8 x( L- \- d, B& \' k
8 n/ b0 o) J4 \* U$ t- K
Stealth Login插件# R0 O6 ]5 x. O3 j% ?6 f
! a# ?: _' d+ v1 n' Y% D" R用戶可以通過這款插件自定義登錄、登出、註冊所用的URL。
Z" b- K B, m$ a3 \+ {
9 a0 L; b5 S$ w2 J |AntiVirus for WordPress插件/ @% G3 \ B) p. ?
. j2 j2 F& X4 i% r6 U3 nAntiVirus for WordPress是一款保護Blog不被採集和垃圾評論入侵的有效插件。 這款插件的用途包括: 檢測可能存在的平台漏洞、病毒感染、惡意鏈接等。AntiVirus for WordPress還可以給你發送郵件通知和白名單。安全預防措施6 l P7 U: C! P# o( H
. |# a9 B# s9 K8 P) N* [, |以下是一些簡單的安全預防措施:
# p2 I* ?( _+ s8 Y: k9 p7 R( l2 G- [2 ]% q( z
1、時將WordPress和插件都更新到最新版本
# w p$ c2 P. W, M% v# O2、除不用的WordPress主題和插件- y+ i1 e9 Z% y
3、用安全程度較高的密碼" F5 l+ S0 k; g$ E( v' R& h
4、使用「admin」為登錄名
. D6 G% c* B# E( R: m$ M0 e9 @; O5、WordPress文件規定正確的文件許可權限- A% u" U- F+ H
6、期備份WordPress數據庫(可利用備份插件) |
|
發表於 2010-5-27 13:32:36
提升卡
沉默卡
变色卡