WordPress 是目前世界上使用广泛的博客软件,比较容易受到各种攻击,因此 WordPress 安全性也是非常重要的,以下有 10 个安全技巧,可以帮助你轻松的解决 WordPress 安全性问题,以免你在 WordPress 的安全性上走更多的弯路。
1 、升级 WordPress 到最新版本
一般来说,新版本的 WordPress 安全性都会比老版本要好一些,并且解决了已知的各种安全性问题,特别当遇到重大的版本升级时,新版本可能会解 决更多的关键性问题。 (例如老版本 WordPress 有 remv.php 重大漏洞,可能会导致遭受 DDoS 攻击,升级到最新版本可解决这个问题)
2 、隐藏 WordPress 版本
编辑你的 header.php 模板,将里面关于 WordPress 的版本信息都删除,这样黑客就无法通过查看源代码的防治得知你的 WordPress 有没有升级到最新版本。
3 、更改 WordPress 用户名
每个黑客都知道 WordPress 的管理员用户是 admin,具有管理员权限,会攻击这个用户,那么你需要创建一个新用户,将其设置为管理员权限,然后删除老的 admin 帐号,这就能避免黑客猜测管理员的用户名。
4 、更改 WordPress 用户密码
安装好 WordPress 后,系统会发送一个随机密码到你的信箱,修改这个密码,因为这个密码的长度只有 6 个字符,你要将密码修改为 10 个字符以上的复杂密码,并尽量使用字母、数字、符号相混合的密码。
5 、防止 WordPress 目录显示
WordPress 会默认安装插件到/wp-content/plugins/目录下,通常情况下直接浏览这个目录会列出所有安装的插件名,这很糟 糕,因为黑客可以利用已知插件的漏洞进行攻击,因此可以创建一个空的 index.html 文件放到这个目录下,当然,修改 Apache 的.htaccess 文件也可以起到相同的作用。
6 、保护 wp-admin 文件夹
你可以通过限定 IP 地址访问 WordPress 管理员文件夹来进行保护,所有其他 IP 地址访问都返回禁止访问的信息,不过你也只能从一两个地方进行 博客管理。另外,你需要放一个新的.htaccess 文件到 wp-admin 目录下,防止根目录下的.htaccess 文件被替换。
7 、针对搜索引擎的保护
很多 WordPress 系统文件不需要被搜索引擎索引,因此,修改你的 robots.txt 文件,增加一行 Disallow: /wp-*
8 、安装 Login Lockdown 插件
这个插件可以记录失败的登录尝试的 IP 地址和时间,如果来自某一个 IP 地址的这种失败登录超过一定条件,那么系统将禁止这一 IP 地址继续尝试登录。
9 、 WordPress 数据库安全
数据表最好不要使用默认的 wp_开头,安装数据库备份插件,无论做了多少保护,你还是应该定期备份你的数据库,使用 WordPress Database Backup 等插件可以实现数据库的定期备份。
10 、安装 WordPress Security Scan 插件
这个插件会自动按照以上的安全建议对你的 WordPress 进行扫描,查找存在的问题,使用较为简单。