WordPress安全綜合指南,非常重要

大多數人不會在維護WordPress安裝上耗費過多時間。 盡管如此，WordPress的安全問題仍然應該放在最重要的位置上。

服務器端和.htaccess

保護WordPress網站安全的第一步自然是尋找安全的虛擬主機托管商。 服務器安全是所有安全措施的基礎。

鎖定.htaccess

.htaccess文件有很多用途，但它最主要的功能，是防止黑客入侵。你可以在.htaccess文件里指定一些有權登錄你的WordPress后臺的IP地址。

在.htaccess文件里加入下面的代碼可以達到這個效果：

AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName "Access Control"AuthType Basicorder deny,allowdeny from all#IP address to Whitelistallow from 123.456.789.012

用你指定的IP地址代替其中的123.456.789.012。

禁用目錄瀏覽

一些服務器設置允許目錄瀏覽，即你可以通過http://yoursite.com/wp-plugins/這樣的鏈接看到自己的插件內容。 要禁用目錄瀏覽，只需要在.htaccess文件里加上下面的代碼：

Options All -Indexes

保護.htaccess

.htaccess文件的安全保護不容忽視。 首先你可以將文件的權限改為CHMOD 644。通過FTP登錄進入服務器，然后進入網站根目錄（通常是public_html文件夾，除非你為WordPress另設了一個獨立文件夾）。 找到.htaccess文件后右擊文件，將權限設為644。第二種方法是在.htaccess文件的最下部分加上以下代碼：

<Files wp-config.php>Order Deny,AllowDeny from All</Files>

優化wp-config文件

.htaccess文件之后接下來是wp-config.php文件。

移動wp-config文件

從WordPress 2.6開始，WordPress用戶可以將wp-config.php文件移到當前安裝文件的上級文件夾中。 如果在當前WordPress目錄下沒有發現wp-config文件，WordPress會自動檢查wp-config文件是否在其上層目錄中。

更改WordPress表前綴

安裝時WordPress的默認表前綴是wp_。 剛剛安裝完后要修改WordPress表前綴是件很容易的事，但當你的WordPress網站已經運行了一陣子時，修改表前綴就不是那么容易的事了。 WP Security Scan插件就是為了解決這個問題而出現的。 你可以用這個插件修改默認的表前綴。 這樣攻擊者在試圖進入你的WordPress文件時就又多了一層障礙。

定義安全密鑰

你可以在wp-config文件中看到下面的內容：

/**#@+ * Authentication Unique Keys. * * Change these to different unique phrases! * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/ WordPress.org secret-key service} * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again. * * @since 2.6.0 */define('AUTH_KEY', 'put your unique phrase here');define('SECURE_AUTH_KEY', 'put your unique phrase here');define('LOGGED_IN_KEY', 'put your unique phrase here');define('NONCE_KEY', 'put your unique phrase here');/**#@-*/

代碼中的鏈接給出了一套密鑰規則，你可以用所給的規則來代替代碼中的四行define規則。

WordPress安全插件

值得慶幸的是，WordPress擁有為數不少的安全插件。 下面只介紹一些最基礎最重要的安全插件。

WP Security Scan插件

WP Security Scan插件會查看你的WordPress安裝文件，看是否有安全漏洞并給出相應的意見。 該插件的查看范圍包括：

• 密碼
• 文件權限
• 數據庫安全
• 版本號的隱藏
• WordPress后臺安全
• 從核心代碼中移除WP Generator META標簽
  

Login LockDown WordPress Security 安全插件

Login LockDown記錄嘗試登陸WordPress失敗的所有IP地址和時間。 如果插件發現短時間內同一個IP段內多次登錄失敗，插件會對禁止該IP段內所有登錄請求。 Login LockDown有效阻止了暴力破解密碼。

Stealth Login插件

用戶可以通過這款插件自定義登錄、登出、注冊所用的URL。

AntiVirus for WordPress插件

AntiVirus for WordPress是一款保護博客不被采集和垃圾評論入侵的有效插件。 這款插件的用途包括： 檢測可能存在的平臺漏洞、病毒感染、惡意鏈接等。AntiVirus for WordPress還可以給你發送郵件通知和白名單。

安全預防措施

以下是一些簡單的安全預防措施：

• 及時將WordPress和插件都更新到最新版本
• 刪除不用的WordPress主題和插件
• 使用安全程度較高的密碼
• 不使用“admin”為登錄名
• 為WordPress文件規定正確的文件許可權限
• 定期備份WordPress數據庫（可利用備份插件）

來源

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈