10招提高你的WordPress安全性_建站經驗教程
推薦:禁止 WordPress 核心程序更新提示WordPress 的核心程序更新提示功能,是從 WordPress 2.3 開始增加的特色功能;在 WordPress 2.5 中,仍然有此功能。當你有新的 WordPress 版本發布的時候,在你的管理后臺就會看到新版 WordPress 已經發布,提示你即使更新。 這是 WordPress 的核心功能之一。但是,對
使用使用WordPress系統的blogger在不斷的日增,我發現國內基本上還沒有多少的blogger關于WordPress的安全性問題,當然 WordPress是一個優秀的博客系統,安全性也算是比較高,但是無論怎么樣,在功能性,舒適性之前,最先考慮的其實是安全性。尤其是在一個人成功的使用WordPress獲得成功(高知名度,高IP/PV等)時,也許會有心懷不軌的人想盡一切辦法黑掉或者把數據破壞等非法的事情。下面我把 Noupe 提出的10條安全性建議翻譯出來供大家參考:
1. 不允許任何人搜索到你的服務器信息
1).不要在Search.php文件中使用這些搜索代碼 from WPDesigner.com
例如: <?phpecho$_SERVER['PHP_SELF']; ?>
請使用下面的代碼代替上面的代碼: <?phpbloginfo('home'); ?>
2).阻止搜索引擎(搜索爬蟲)搜索以WP-為開頭的文件夾里面的文件。最方面的阻止方法就是在博客根目錄建立robots.txt文件,并在里面添加:Disallow: /wp-*
2. 不要把目錄以網頁列表的形式暴露出來
WordPress有一個潛在性的問題可以使得其他用戶查看你的博客的插件目錄以及版本號。你可以嘗試的在你的博客上后加上"/wp-content/plugins/"看看效果。例如,你的博客地址是:
http://www.icyleaf.com
加上之后就為:
http://www.icyleaf.com/wp-content/plugins/
是不是可以顯示出來,同樣的我測試了下,themes文件夾也可以顯示的。
解決方案有2種,第一就是在plugins和themes文件夾下面分別建一個名為index.htm的空文件即可;第二是在.htaccess文件添加下面的參數即可:
Options All -Indexes
3. 把你的版本號從Meta標簽中刪除掉
一般來說,默認的WordPrss以及網友制作的主題的header.php文件都會有你使用的WordPress版本號的meta標簽(下面)。這極易有可能你因沒有及時升級因舊版本暴露的漏洞讓黑客們利用。建議刪除掉這個標簽。這里還有 Matt Cutts 提出的不錯建議。
<meta name="generator"content="WordPress <?php bloginfo('version'); ?>" />
翻譯者按:為什么網友制作的主題也會添加這個標簽呢,主要是默認版本的在這個標簽的后面有一個注解: <!-- leave thisforstats -->
4. 捍衛你的wp-admin文件夾
攻擊者常常會使用一些暴力破解軟件或者利用社會工程學來破解WordPress用戶設置的弱口令(簡單,常用的密碼)。下面收集了防范的一些方法可以有效的阻止這種事情發生。
翻譯者按:一個強而復雜的密碼是就是非常強悍的防范措施了:)
1).通過限制IP地址訪問wp-admin文件夾
此方法是用在.htaccess文件添加某些配置來限制某些具體的IP地址訪問wp-admin文件夾
2).AskApache Password Protect
這是一個WordPress插件的名字,非常的簡單好用,它可以為訪問wp-admin文件夾的用戶設置一個二級密碼保護同時也把信息寫在.htaccess文件中,只有輸入正確的用戶名和密碼就才能訪問后臺。點擊這里直接下載試用吧!
3).Login Lockdown plugin
同樣也是一個WordPress插件,他的好處就在于,他可以記錄每一次登陸失敗時使用者的IP地址和登錄時間。當達到你設定的失敗次數,插件的特定函數會阻止此IP地址的使用者繼續登錄操作。
5. 注意保持及時更新
你最好需要保證你的插件,主題以及使用的WordPress的版本的不斷更新,這里建議你訂閱你使用的插件,主題作者的博客以保證及時獲得最新的更新消息。
6. 定期備份博客的數據庫
這是一個持久的事情,你需要經常性的或者定期性的備份你博客的數據庫,對于數據庫的備份我們可以使用 WordPress Database Backup 插件來完成定期備份。
翻譯者按:我使用的是 WP-DBManager 插件(使用方法),同樣也可以實現定期備份。
7. 升級你的WordPress為最新版本
也許這才是第一件要做的事情,呵呵(^___^)。在升級之前一定要備份好一些數據和你認為改備份的東西,至于升級可以使用 Instant Upgrade 插件 或者 Wordpress Automatic Upgrade插件來完成。
8. 使用SSH/Shell方式代替FTP登錄操作
這里有一些很好的建議,點擊這里查看。如果某人獲得了你的FTP的登錄信息(當然包括密碼咯),他們就可以在登錄后胡作非為的,這是很可怕的事情哦...而使用SSH/Shell你就大可放心,因為他們的任何傳輸都是通過加密的,保證安全性!
翻譯者按: 其實像FlashFXP這類的軟件其安全性很差的,很容易就能獲得你保存的個人登錄信息。點這里下載Putty客戶端(里面我添加了一些常用的Shell命令的幫助信息)。其實它的操作一切按照Linux下面的命令:)
9.不要再擔憂你的wp-config.php文件
通過在.htaccess文件添加下面的配置會使你的wp-config.php文件里面的配置信息(數據庫地址,用戶名和密碼)更加安全可靠。
<filesmatch>deny from all</filesmatch>
10. 為你的WordPress用戶設置一個強悍的密碼
翻譯者按:這段我就不過多翻譯了,因為我也寫過這方面的文章(《黑客手冊》某期,不好意思我忘記是哪期了),這里我就以我的思路給大家一些方法。
大家都知道一個強悍的密碼應包括字母,數字和一些特殊符號組成,如果你設置了一個Sfd@#35,這個誰也記不著。其實一個強悍的密碼看著復雜如果你知道了敲門其實一點也不難記憶,而且非常有規律,這里我舉一個最簡單的例子: 1+1=two
是不是很簡單,1+1=2這是很簡單的數學算式,小學一年級的都會的(現在的小學一年級有英語了吧,就算沒有學前教育的父母也應該逼著他們學了吧)。這個密碼完全符合一個強悍的密碼的定義。再例如:
zxasqw12`
或許猛的一看,這個是什么呀,沒什么規律嘛,其實你安裝這個密碼自己嘗試下就明白了,這個方法我稱之為鍵盤分布法。另外還有所問非所答法,例如:
1+1=one
1+2=twelve
1+1=ten
方法還有很多,發揮你的想象力,總會出現奇跡的!
分享:如何確保您的WordPress沒有被黑最近WordPress舊版本被黑得很頻繁。黑客很多時候會修改您的主題文件并插入垃圾鏈接。我的一個沒有更新的舊博客就遇到這樣的問題,使用IM聊天時,一些朋友也向我抱怨這樣的問題。 所以我建議您盡快對您的WordPress進行檢查,確保它沒有受到威脅。 如何發現WordPress被黑
- 相關鏈接:
- 教程說明:
建站經驗教程-10招提高你的WordPress安全性。