• 欢迎访问望星湖畔,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入望星湖畔 QQ群
  • 由于360网盘即将关闭,本站内部分下载资源可能暂时无法下载,请到相关文章评论处留言,我们会马上处理,谢谢合作!
  • 本站正在搬家,各项数据恢复中……

9 个提升WordPress 网站安全性的方法

WP应用 admin 1411次浏览 0个评论

#1 使用你的Email 作为登入帐号

当你安装完一个WordPress 网站时,预设的第一位用户为“admin”。你应该建立不同的使用者名称来管理你的WordPress 网站,并将预设使用者“admin” 删除,或是将它的权限从「系统管理员」降级为「读者」。

你也可以建立一个完全乱数(难以被猜中)的使用者名称,然后使用你的Email来登入WordPress。插件WP-Email Login可以支持使用你的Email取代帐号登入。

#2 不要向全世界展示你的WordPress 版本

WordPress 网站会在原始码显示版本号,让其他人能够知道你正在执行旧的WordPress。

要从网页里移除WordPress 版本是很简单的一件事,但你需要做一些额外的补强,从你的WordPress 目录将readme.html 档案删除,因为它也会把你所使用的WordPress 版本展示给全世界。

#3 别让其他人拥有”写入”你WordPress 目录的权限

登入你的WordPress 网站Linux 系统列,执行以下指令来取得所有「公开」、其他用户皆能写入的目录清单。

find .  - type d - perm - o = w

你也许可以执行以下两行指令,来将你WordPress内的档案和目录设定为正确的权限(参考资料)。

find / your / wordpress / folder /  - type d - exec chmod 755  {} \;

find / your / wordpress / folder /  - type f - exec chmod 644  {} \;

对目录来说,755(rwxr-xr-x) 意味着只有拥有者具备写入权限,其他人只有读取和执行的权限。对档案来说,644 (rw-r–r–) 意味着只有档案拥有者具备读取和写入权限,其他人为唯读。

#4 重新命名你的WordPress 资料表前缀

如果你使用预设选项来安装WordPress的话,你的WordPress资料表应该会像是wp_posts或wp_users。将资料表的前缀(wp_)更改为其他随机值是比较好的作法,插件 Change DB Prefix 可以让你在弹指之间重新命名你的资料表前缀。

#5 防止使用者浏览你的WordPress 目录结构

这很重要。开启你WordPress 根目录底下的.htaccess 档案,然后在最上方加入这行。

Options -Indexes

这能够防止其他人在能建立档案清单时看到你资料夹内的所有档案。例如目录下缺少预设的index.php 或index.html 时。

#6 更新WordPress 安全密钥

开启此网页来为你的WordPress网站产生八组安全密钥。开启WordPress目录下的wp-config.php档案,将预设的密钥以产生的密钥取而代之。

这些随机的字串能使你储存于WordPress 的密码更加安全,另一个好处是,当有人在你不知情的情况下登入WordPress,他们将会被立即登出,使他们的cookies 失效。

#7 保留WordPress PHP 和资料库错误记录

从错误记录有时候可以发现针对你WordPress所发出的无效资料库查询或档案查询。我更喜欢插件Error Log Monitor,因为它能定期透过Email发送错误日志到你的信箱,也能显示于你的WordPress控制台。

要在WordPress启用错误日志功能,将以下程式码加入你的wp-config.php档案,记得要把/path/to/error.log替换为你的日志文件实际路径。error.log应该放在无法直接从浏览器存取得到的目录。(参考资料

define('WP_DEBUG', true);
if (WP_DEBUG) {
 define('WP_DEBUG_DISPLAY', false);
 @ini_set('log_errors', 'On');
 @ini_set('display_errors', 'Off');
 @ini_set('error_log', '/path/to/error.log');
}

#8 以密码保护Admin 控制台

使用密码来保护wp-admin目录是一个不错的方法,因为浏览你的公开WordPress网站并不需要用到这目录下的任何档案。一旦设定完成,即使是授权的用户也需要输入两道密码才能登入他们的WordPress控制台。

#9 追踪你的WordPress 伺服器登入动态

你可以在Linux 下使用“last -i” 指令来列出所有登入你WordPress 伺服器的使用者,包括他们的IP 位址。如果你发现清单内有未知的IP 来源,那肯定要修改密码了。

此外,下面的指令将显示较长时间区间的登入动态,并使用IP 位址分组(将USERNAME 改为你的使用者名称)。

last -if /var/log/wtmp.1 | grep USERNAME | awk '{print $3}' | sort | uniq -c

使用插件来监控你的WordPress 网站

WordPress.org 插件库包含不少好用的安全相关插件,可以持续监控你的WordPress 网站是否有被入侵,或是其他可疑活动。这些是我会建议使用,也较为基本的安全外挂。

  • Exploit Scanner –它会迅速扫描你的所有WordPress档案和文章,并列出潜藏恶意程式码的。例如垃圾链结可能会使用CSS或IFRAME方式隐藏在你的WordPress网志文章里,而这个外挂可以将它们找出来。
  • WordFence Security –这是一个非常强大、且应该使用的安全插件。它会比对你WordPress的核心档案和原始档案间是否已被修改。而且,该外挂会锁定尝试登入你的网站却失败的使用者。
  • WordPress Sentinel –另一个实用的插件,可以监控你的WordPress档案,当有任何档案被加入、删除或修改时会发出警告。
  • WP Notifier –如果你不常登入你的WordPress控制台,那这插件适合你。它会在你安装的主题、插件和WordPress核心有新的更新时以Email通知你。
  • VIP Scanner – “官方”安全插件将扫描你的WordPress主题有无任何问题,它也能检测出有无任何的广告程式码被注入你的WordPress主题里。

小技巧:你也可以使用以下Linux 指令来列出近三天被修改的档案清单。将mtime 改为mmin 可以看到“n” 分钟前被修改的档案清单。

find . -type f -mtime -3 | grep -v "/Maildir/" | grep -v "/logs/"

提高WordPress 登入页面安全性

你的WordPress 登入页面是每个人都可以存取的,但如果你想防止未授权的使用者登入WordPress,你有以下三种选择。

  • 使用.htaccess加入密码保护 –在WordPress认证以外加入另一道帐号密码来保护你的wp-admin目录。
  • Google Authenticator –这出色的插件能为你的WordPress加入两步骤验证功能。除了 ​​输入正确的密码外,还必须搭配手机应用程式来输入随机产生的验证码。
  • Login Dongle –这个插件使用一个非常独特的方法来保护你的WordPress。它能产生一个书签列(加上秘密问题),你可以将它加入浏览器。当你要登入WordPress时,输入你的密码并按下书签列才能登入WordPress –登入页面的按钮将无法使用。

望星湖畔, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明9 个提升WordPress 网站安全性的方法
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址