網站的安全性在任何時候都是很重要的,特別是在網站經營若干年之後,有了更多的數據,更要保證網站的安全性,使用 WordPress 搭建的網站更是如此,特別是現在 WordPress 用户越來越多,使用越來越廣泛,所以,被研究,被攻擊,也是必然的。
本篇文章裏提到的都是在 WordPress 安裝之後的操作。
1,經常備份;
備份的意思,是文件和數據庫都要備份,而且也包含附件。備份可以根據各自的特點來操作,比如 WordPress 的程序,如果不是每天都在修改
WordPress 的話,只要在每一次修改 WordPress 程序之後備份一次即可;附件,比如壓縮包和圖片,如果是存儲在主機當中,那建議每週備份一
次,畢竟每次備份到其他空間或者本地,是要消耗流量的;如果本身已經存儲在第三方的網盤上,那就無需單獨備份了;數據庫,也每週備份一次即可。
這裏推薦一款很好用的 WordPress 備份插件:BackWPup
WordPress 備份的三個原則:
a, 備份文件不能保存在相同的空間中;
b, 必須是自動備份的;
c, 設置備份文件的次數,比如保留最新的 5 次備份等;
2,保持 WordPress 程序在最新版
WordPress 是一款開源的程序,因此有很多愛好者都很喜歡,而且發現問題都會及時的提交到 WordPress 官方,之前幾次的更新,都是提交之後,WordPress 官方及時更新處理,所以,保持 WordPress 一直在最新版,可以有效的避免安全問題;
3,使用複雜的密碼並且經常更新
密碼有兩個,一個是 WordPress 的登陸密碼;另外一個是主機的密碼;不要只使用數字和字母,空格,~!@#這種也可以用,當然要記得,而且不定期更新,保證密碼的安全性,但要自己記得。
4,經常檢查 WordPress 程序
這裏需要説一下 WordPress 的權限,在 linux 主機,運行在 cgi 模式下的 WordPress 程序,文件夾的權限是:755;文件的權限
是:644;.htaccess 的權限也是 644(有些文件,比如 sitemap 的 xml 可能需要 777 的權限,就 WordPress 本身的權限,按照上
面説的即可) 。
通過主機控制面板,是可以看到權限的,如果有文件權限不對,建議先修改成正確的,然後打開文件,查看是否有惡意代碼;常被入侵的文件有三個:根目錄的 wp-config.php;index.php 和當前主題中的 functions.php 。
現在國內也有很多檢測安全的網站,但還是建議使用國外的吧,比如:http://www.sucuri.net,當然 cPanel 主機 (http://idc.wopus.org/foreign/cp/) 控制面板目前已經內置了病毒掃描工具。
5,設置 WordPress 的 security keys
安裝 WordPress 之後,在 wp-config.php 文件中,有 security keys,可以在 https://api.WordPress.org/secret-key/1.1/salt/ 中生成,都是隨即的,直接複製到 wp-config.php,保存即可。
6,選擇性的使用 WordPress 插件和主題
其實很簡單,插件和主題,儘量使用 WordPress 官方的。
我們遇到過極端的情況,一個 WordPress 愛好者製作了幾款主題,都免費分享了,但他的主機被入侵了,所有的主題,都被插入了惡意代碼,於是,
使用之後,就悲劇了;當然這種情況也出現在 WordPress 官方,也被入侵過,但 WordPress 很好的處理,並且加強了預防。
插件更是如此了,使用之前,先衡量一下,是否真的需要。
WordPress 的用户,都喜歡折騰,主要就是折騰主題和插件,但有選擇性的,可以很好的保證 WordPress 安全性。其實,通過主題和插件威脅 WordPress,是當前一種主流的方式。
如果您有其他的建議或者好的經驗,請留言,我們會不斷更新,希望大家都有安全的 WordPress 網站。