WordPress 是一款功能和安全性都十分強大博客 CMS 系統,目前在全球使用非常廣泛。很多個人博客,企業博客等等都是用 WordPress 平台。網站安全應該是每一個站長必須隨時注意的,我們應該先做好防範措施,而不是等到站點被黑,數據庫被盜才想到安全性。 WordPress 也一樣,雖然很多 WordPress 用户都認為它非常安全,但它也可能被黑客攻擊。所以本文就總結了幾點 WordPress 博主必須要做的安全設置。
一、 WordPress 數據庫操作權限的安全設置
首先説説數據庫的安全設置。我建議你最好單獨給 WordPress 建一個數據庫,最好不要跟其它網站或應用共享一個數據庫。因為如果其中一個網站有漏洞,黑客進入了數據庫,這就威脅到了整個數據庫表的安全。然後還應該設置 WordPress 數據庫的操作權限,比如,哪些賬户可能有 insert 、 delete 和 create 權限,哪些只有 select 權限等。
另外各個數據庫賬户的密碼一定要非常強壯,最好用密碼管理軟件生成一串包含數字、字母和符號的隨機密碼。關於權限設置,你可能參考以下代碼:
$ mysql -u root -p
mysql> create database 'myblog';
mysql> grant select, insert, delete, update, create, drop, alter on myblog.* to 'bloguser'@'localhost' identified by 'mypassword';
mysql> flush privileges;
mysql> exit;
二、修改默認管理員帳户密碼
不要在管理員的用户名中使用諸如 Admin 這樣的名稱,你可以直接用 MySQL 打開數據庫,直接修改數據庫中的管理員用户名。表名為_users 。也一定注意管理員的密碼。要跟上面設置數據庫的密碼一樣,要弄得複雜一些,最好有大寫字母、小寫字母、數字和符號。可以考慮用一些密碼管理軟件,如 KeePass 等來保存密碼。
三、使用加密路徑訪問
這一條不是很覺見,因為很多站點一般是不支持 SSL(HTTPS) 的訪問模式,需要付費。但 WordPress 是支持用 HTTPS 的方式訪問的。如果你的服務器支持 HTTPS,你一定使用加密方式訪問後台。因為如果使用一般的 HTTP,你的密碼可能會被人用抓包嗅探軟件截取到。要啓用 HTTPS 訪問後台的方式的話,你需要在 wp-config.php 中加入以下代碼:
define('FORCE_SSL_ADMIN', true);
四、及時升級到新版本
新版本的發佈除了新功能一定還有對漏洞的修復。所以當有新版本發佈時,你一定要重視瞭解下此版本修復了哪些漏洞。要及時下載最新安裝包更新到新版本。
五、定期備份 WordPress 數據庫和文件
一定要定期備份數據庫。因為一旦數據庫被入侵破壞,你可以將數據庫恢復過來。誰都不想倖幸苦苦做的內容瞬間化為灰燼。你可以找找 WordPress 數據庫備份的插件,有些插件可以設置定期自動執行備份操作。有一款叫 WP-DB Manager 的插件可以自動將備份發送到你的 Gmail 郵箱。
除了備份數據庫以外,也應該把 WordPress 的文件做定期備份。特別是當你對代碼做了很大的修改的情況下,比如插件、主題模板等,你更應該對源代碼做一下備份。萬一 WordPress 被攻擊,恢復起來也容易得多。
六、屏蔽文件夾目錄瀏覽
有些主機可能允許瀏覽目錄結構,這個的安全隱患非常大。瀏覽目錄結構表示黑客可以看到你所有的文件名。最簡單的辦法是在每個目錄下面都放上一個空內容的 index.html 文件。這樣訪問者就只能看到一個空白的頁面了。要關閉 Apache 的目錄瀏覽也很簡單,只需要在根目錄的.htaccess 文件中添加這行代碼:
Options All -Indexes
七、不要在頁面代碼中輸出 WordPress 版本號
你的 WordPress theme 的代碼在 Meta 段肯定沒有顯示版本號,但是版本號可以通過一些方式讀取到。要在 functions.php 文件中添加下面這行代碼:
如果你的 WordPress 沒有這個文件,你可以創建一個,然後添加上這行代碼。