• 注册
  • WordPress教程 WordPress教程 关注:0 内容:25

    WordPress安全综合指南

  • 查看作者
  • 打赏作者
    • WordPress教程
    • Lv.4
      白银会员
      官方团队

      多数人不会在维护WordPress安装上耗费过多时间。 尽管如此,WordPress的安全问题仍然应该放在最重要的位置上。


      服务器端和.htaccess

      保护WordPress网站安全的第一步自然是寻找安全的虚拟主机托管商。 服务器安全是所有安全措施的基础。


      锁定.htaccess

      .htaccess文件有很多用途,但它最主要的功能,是防止黑客入侵。你可以在.htaccess文件里指定一些有权登录你的WordPress 后台的IP地址。

      在.htaccess文件里加入下面的代码可以达到这个效果:

      AuthUserFile /dev/null
      AuthGroupFile /dev/null
      AuthName "Access Control"
      AuthType Basic
      order deny,allow
      deny from all
      #IP address to Whitelist
      allow from
      [color=]123.456.789.012

      用你指定的IP地址代替其中的123.456.789.012。


      禁用目录浏览

      一些服务器设置允许目录浏览,即你可以通过 链接这样的链接看到自己的插件内容。  要禁用目录浏览,只需要在.htaccess文件里加上下面的代码:

      Options All -Indexes


      保护.htaccess

      .htaccess文件的安全保护不容忽视。 首先你可以将文件的权限改为CHMOD  

      644。通过FTP登录进入服务器,然后进入网站根目录(通常是public_html文件夹,除非你为WordPress另设了一个独立文件夹)。  

      找到.htaccess文件后右击文件,将权限设为644。第二种方法是在.htaccess文件的最下部分加上以下代码:

      Order Deny,Allow
      Deny from All


      优化wp-config文件

      .htaccess文件之后接下来是wp-config.php文件。


      移动wp-config文件

      从WordPress 2.6开始,WordPress用户可以将wp-config.php文件移到当前安装文件的上级文件夹中。  

      如果在当前WordPress目录下没有发现wp-config文件,WordPress会自动检查wp-config文件是否在其上层目录中。


      更改WordPress表前缀

      安装时WordPress的默认表前缀是wp_。  

      刚刚安装完后要修改WordPress表前缀是件很容易的事,但当你的WordPress网站已经运行了一阵子时,修改表前缀就不是那么容易的事了。  

      WP Security Scan插件就是为了解决这个问题而出现的。 你可以用这个插件修改默认的表前缀。  

      这样攻击者在试图进入你的WordPress文件时就又多了一层障碍。


      定义安全密钥

      你可以在wp-config文件中看到下面的内容:

      /**#@+
                  * Authentication Unique Keys.
                  * Change these to different unique phrases!
                  * You can generate these using the
                  {@link 链接 secret-key service}
                  * You can change these at any point in time to invalidate
        all existing cookies. This will force all users to have to log in  
      again.
                  * @since 2.6.0
                  */
                  define('AUTH_KEY', 'put your unique phrase here');
                  define('SECURE_AUTH_KEY', 'put your unique phrase here');
                  define('LOGGED_IN_KEY', 'put your unique phrase here');
                  define('NONCE_KEY', 'put your unique phrase here');
                  /**#@-*/
                  

      代码中的链接给出了一套密钥规则,你可以用所给的规则来代替代码中的四行define规则。

           

      请登录之后再进行评论

      登录

      WordPress后台-外观-小工具 进行配置小工具

    • 做任务
    • 实时动态
    • 偏好设置
    • 帖子间隔 侧栏位置: