多数人不会在维护 WordPress 安装上耗费过多时间。 尽管如此,WordPress 的安全问题仍然应该放在最重要的位置上。

服务器端和.htaccess

保护 WordPress 网站安全的第一步自然是寻找安全的虚拟主机托管商。 服务器安全是所有安全措施的基础。

锁定.htaccess

.htaccess 文件有很多用途,但它最主要的功能,是防止黑客入侵。你可以在.htaccess 文件里指定一些有权登录你的 WordPress 后台的 IP 地址。

在.htaccess 文件里加入下面的代码可以达到这个效果:

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName "Access Control"

AuthType Basic

order deny,allow

deny from all

#IP address to Whitelist

allow from 123.456.789.012

用你指定的 IP 地址代替其中的 123.456.789.012 。

禁用目录浏览

一些服务器设置允许目录浏览,即你可以通过 http://yoursite.com/wp-plugins/这样的链接看到自己的插件内容。 要禁用目录浏览,只需要在.htaccess 文件里加上下面的代码:

Options All -Indexes

保护.htaccess

.htaccess 文件的安全保护不容忽视。 首先你可以将文件的权限改为 CHMOD
644 。通过 FTP 登录进入服务器,然后进入网站根目录 (通常是 public_html 文件夹,除非你为 WordPress 另设了一个独立文件夹) 。
找到.htaccess 文件后右击文件,将权限设为 644 。第二种方法是在.htaccess 文件的最下部分加上以下代码:

<Files wp-config.php>

Order Deny,Allow

Deny from All

</Files>

优化 wp-config 文件

.htaccess 文件之后接下来是 wp-config.php 文件。

移动 wp-config 文件

从 WordPress 2.6 开始,WordPress 用户可以将 wp-config.php 文件移到当前安装文件的上级文件夹中。
如果在当前 WordPress 目录下没有发现 wp-config 文件,WordPress 会自动检查 wp-config 文件是否在其上层目录中。

更改 WordPress 表前缀

安装时 WordPress 的默认表前缀是 wp_。
刚刚安装完后要修改 WordPress 表前缀是件很容易的事,但当你的 WordPress 网站已经运行了一阵子时,修改表前缀就不是那么容易的事了。
WP Security Scan 插件就是为了解决这个问题而出现的。 你可以用这个插件修改默认的表前缀。
这样攻击者在试图进入你的 WordPress 文件时就又多了一层障碍。

定义安全密钥

你可以在 wp-config 文件中看到下面的内容:

 

/**#@+

* Authentication Unique Keys.

* Change these to different unique phrases!

* You can generate these using the

{@link https://api.WordPress.org/secret-key/1.1/ WordPress.org secret-key service}

* You can change these at any point in time to invalidate
all existing cookies. This will force all users to have to log in
again.

* @since 2.6.0

*/

define('AUTH_KEY', 'put your unique phrase here');

define('SECURE_AUTH_KEY', 'put your unique phrase here');

define('LOGGED_IN_KEY', 'put your unique phrase here');

define('NONCE_KEY', 'put your unique phrase here');

/**#@-*/

代码中的链接给出了一套密钥规则,你可以用所给的规则来代替代码中的四行 define 规则。