9种增强WordPress安全性的方法
对于WordPress博客的数据,有这么一句话:不是WordPress博客数据不重要,是没尝过丢失的滋味。
有些朋友可能有这种经历:访问一个站的时候,会出现提示:This site may harm your computer(这个网站可能会伤害你的电脑),而且是红色背景,这种被判定为不允许访问的站点,一般都是被黑客入侵过的。
这篇文章的主要目的是提醒大家,把日常一些不注意的,容易疏忽的可以引起WordPress安全隐患的给提出来,希望各位能检查一下自己的博客,毕竟,谁都不希望出现“XXX”门。
一,保证WordPress数据库安全
有些朋友需要把数据库合用,几个程序使用一个数据库,这种习惯是不好的,首先会造成单一数据库很臃肿,其次是备份起来也很麻烦,最后是如果有问题,都可能挂掉。在创建WordPress数据库的过程中,要遵循一下原则:
- 使用独立的数据库。
- 给数据库用户设置合理的访问权限。使用国外Cpanel类WordPress主机的朋友都清楚,在把数据库用户添加到数据库的时候,有一个权限选择的页面,在以前,可能大家都是全选,但现在,需要告诉各位的是,最好只勾选一下权限:选择,生成,插入,更改,更新,丢弃,删除。在操作的时候,可以参考Wopus提供的数据库权限设置图:
- 给数据库设置一个强悍的密码。最高的境界是,自己不记得密码是多少,而且Cpanel类WordPress空间会生成很复杂的密码,也会检测并报告密码的强壮度。
二,加固wp-config.php文件
每隔一段时间,最好检查一下自己的wp-config.php文件,而且不要只检查数据库配置那块,wp-config.php里的每行代码都值得观看。
从WordPress 2.6开始,为了能保证Cookies的安全性,WordPress开始在wp-config.php里加入 WordPress secret key,并且提供了官方生成工具:WordPress secret key generation tool。
除此之外,在安装WordPress的时候,也记得修改一下WordPress数据库的前缀,替换到默认的wp_,至于修改成啥样的,那就是越难记住越好,但不要有太多的字符。
三,不用使用默认的WordPress帐户。
安装WordPress成功之后,生成的默认的用户名是 admin,登陆到后台之后,第一件事情不是去修改密码,而是从新建一个管理员,然后把admin帐户删除。可以直接在WordPress后台完成,新建管理员帐户的时候,密码设置可以强悍一些。
除此之外,定期修改管理员帐户的密码也是一个好的习惯,现在的浏览器,以Firefox和Chrome为主,不但恶意记住密码,还能显示密码,所以各位如果电脑经常暴露在人群中,保存密码就要多留一个心眼了。
四,及时更新WordPress到最新版
某位顶级黑客在谈到如果做好电脑安全的时候,就一句话:有安全补丁就及时更新。这句话对WordPress同样使用,从WordPress 2.5开始,WordPress的更新速度逐渐越来越快,但有一些都是被动更新的,因为有安全漏洞,不管如何,及时更新WordPress到最新版本。目前WordPress官方最新版本是 2.8.5。至于如何第一时间获得WordPress最新的消息,多多关注Wopus就就可以了。
五,经常备份WordPress程序及数据库
俗话说的好,有备无患。Wopus这里主要给备份的原则:WordPress程序修改了就备份,不修改不用备份;数据库可以根据的频率备份,每周备份一次是一个不错的选择,当然如果数据量特别大,每天或者每两天备份一次都可以。
WordPress备份的方法是多种多样,这里有几篇Wopus曾经发布过的关于数据备份的文章。如何进行Wordpress的日常备份:https://www.wopus.org/wordpress-deepin/tech/40.html
WordPress完美备份数据方法及教程:https://www.wopus.org/wordpress-deepin/tech/1009.html
Mysql较大数据库的备份与导入:https://www.wopus.org/wordpress-deepin/tech/1035.html
用Cronjob定时备份数据库并发送至邮箱: https://www.wopus.org/wordpress-deepin/tech/1151.html
六,保证任何一个目录都无法被访问
目前绝大多数的WordPress专业主机都能做到这一点,不多介绍,但是请注意,保证根目录下在的index.php文件的安全非常必要。
七,特别保护wp-admin目录
保护的方法可以通过在.htaccess里修改来完成,16个简单实用的.htaccess技巧(https://www.wopus.org/wordpress-deepin/tech/1271.html)
八,保护wp-content文件夹里的文件
WordPress的PHP文件是无法通过http访问的,所以,这里我们需要注意的是图片,附件,CSS和JS代码。保护的方法还是修改.htaccess。代码如下:
Order Allow,Deny
Deny from all
Allow from all
九,隐藏WordPress的版本号
这已经不知道是Wopus第几次提到这个问题了。这又是一篇新的文章,再说明一下原因,WordPress因为知名度越来越大,会被越来越多人关注,当然会有一些很厉害的人,他们也许读到了在WordPress的某个版本中还隐藏着安全隐患。这就是WordPress的漏洞,根据漏洞可以获得一些额外的东西,最严重的就是被入侵,数据全部丢失。
至于隐藏WordPress的版本号,一是希望各位不要在Footer的地方加上WordPress的版本代码,显示出来不好,第二,需要检查一下header.php文件,如果看到了有这行代码
< ?php bloginfo(’version’); ?>
,记得去掉。或者在主题文件function.php里加上:
< ?php remove_action('wp_head', 'wp_generator'); ?>
如果您有其他关于增强WordPress安全性的建议,欢迎投稿给我们:https://www.wopus.org/tougao。您也可以留言发表对WordPress安全性的看法。
沙发~~~~
安全很重要。。。
好东西,收藏,完善下自己的,谢谢了
每周定时备份数据库 呵呵
wordpress的版本号应该不是这样隐藏的
哈哈。方法不可能只有一种吧。
路过看到留下言,博主的内容不错,有空多交流。