WordPress 是目前世界上使用廣泛的博客軟件,比較容易受到各種攻擊,因此 WordPress 安全性也是非常重要的,以下有 10 個安全技巧,可以幫助你輕鬆的解決 WordPress 安全性問題,以免你在 WordPress 的安全性上走更多的彎路。
1 、升級 WordPress 到最新版本
一般來説,新版本的 WordPress 安全性都會比老版本要好一些,並且解決了已知的各種安全性問題,特別當遇到重大的版本升級時,新版本可能會解 決更多的關鍵性問題。 (例如老版本 WordPress 有 remv.php 重大漏洞,可能會導致遭受 DDoS 攻擊,升級到最新版本可解決這個問題)
2 、隱藏 WordPress 版本
編輯你的 header.php 模板,將裏面關於 WordPress 的版本信息都刪除,這樣黑客就無法通過查看源代碼的防治得知你的 WordPress 有沒有升級到最新版本。
3 、更改 WordPress 用户名
每個黑客都知道 WordPress 的管理員用户是 admin,具有管理員權限,會攻擊這個用户,那麼你需要創建一個新用户,將其設置為管理員權限,然後刪除老的 admin 帳號,這就能避免黑客猜測管理員的用户名。
4 、更改 WordPress 用户密碼
安裝好 WordPress 後,系統會發送一個隨機密碼到你的信箱,修改這個密碼,因為這個密碼的長度只有 6 個字符,你要將密碼修改為 10 個字符以上的複雜密碼,並儘量使用字母、數字、符號相混合的密碼。
5 、防止 WordPress 目錄顯示
WordPress 會默認安裝插件到/wp-content/plugins/目錄下,通常情況下直接瀏覽這個目錄會列出所有安裝的插件名,這很糟 糕,因為黑客可以利用已知插件的漏洞進行攻擊,因此可以創建一個空的 index.html 文件放到這個目錄下,當然,修改 Apache 的.htaccess 文件也可以起到相同的作用。
6 、保護 wp-admin 文件夾
你可以通過限定 IP 地址訪問 WordPress 管理員文件夾來進行保護,所有其他 IP 地址訪問都返回禁止訪問的信息,不過你也只能從一兩個地方進行 博客管理。另外,你需要放一個新的.htaccess 文件到 wp-admin 目錄下,防止根目錄下的.htaccess 文件被替換。
7 、針對搜索引擎的保護
很多 WordPress 系統文件不需要被搜索引擎索引,因此,修改你的 robots.txt 文件,增加一行 Disallow: /wp-*
8 、安裝 Login Lockdown 插件
這個插件可以記錄失敗的登錄嘗試的 IP 地址和時間,如果來自某一個 IP 地址的這種失敗登錄超過一定條件,那麼系統將禁止這一 IP 地址繼續嘗試登錄。
9 、 WordPress 數據庫安全
數據表最好不要使用默認的 wp_開頭,安裝數據庫備份插件,無論做了多少保護,你還是應該定期備份你的數據庫,使用 WordPress Database Backup 等插件可以實現數據庫的定期備份。
10 、安裝 WordPress Security Scan 插件
這個插件會自動按照以上的安全建議對你的 WordPress 進行掃描,查找存在的問題,使用較為簡單。