多數人不會在維護 WordPress 安裝上耗費過多時間。 儘管如此,WordPress 的安全問題仍然應該放在最重要的位置上。
服務器端和.htaccess
保護 WordPress 網站安全的第一步自然是尋找安全的虛擬主機託管商。 服務器安全是所有安全措施的基礎。
鎖定.htaccess
.htaccess 文件有很多用途,但它最主要的功能,是防止黑客入侵。你可以在.htaccess 文件裏指定一些有權登錄你的 WordPress 後台的 IP 地址。
在.htaccess 文件里加入下面的代碼可以達到這個效果:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny,allow deny from all #IP address to Whitelist allow from 123.456.789.012 |
用你指定的 IP 地址代替其中的 123.456.789.012 。
禁用目錄瀏覽
一些服務器設置允許目錄瀏覽,即你可以通過 http://yoursite.com/wp-plugins/這樣的鏈接看到自己的插件內容。 要禁用目錄瀏覽,只需要在.htaccess 文件里加上下面的代碼:
| Options All -Indexes |
保護.htaccess
.htaccess 文件的安全保護不容忽視。 首先你可以將文件的權限改為 CHMOD
644 。通過 FTP 登錄進入服務器,然後進入網站根目錄 (通常是 public_html 文件夾,除非你為 WordPress 另設了一個獨立文件夾) 。
找到.htaccess 文件後右擊文件,將權限設為 644 。第二種方法是在.htaccess 文件的最下部分加上以下代碼:
<Files wp-config.php> Order Deny,Allow Deny from All </Files> |
優化 wp-config 文件
.htaccess 文件之後接下來是 wp-config.php 文件。
移動 wp-config 文件
從 WordPress 2.6 開始,WordPress 用户可以將 wp-config.php 文件移到當前安裝文件的上級文件夾中。
如果在當前 WordPress 目錄下沒有發現 wp-config 文件,WordPress 會自動檢查 wp-config 文件是否在其上層目錄中。
更改 WordPress 表前綴
安裝時 WordPress 的默認表前綴是 wp_。
剛剛安裝完後要修改 WordPress 表前綴是件很容易的事,但當你的 WordPress 網站已經運行了一陣子時,修改表前綴就不是那麼容易的事了。
WP Security Scan 插件就是為瞭解決這個問題而出現的。 你可以用這個插件修改默認的表前綴。
這樣攻擊者在試圖進入你的 WordPress 文件時就又多了一層障礙。
定義安全密鑰
你可以在 wp-config 文件中看到下面的內容:
| /**#@+
* Authentication Unique Keys. * Change these to different unique phrases! * You can generate these using the {@link https://api.WordPress.org/secret-key/1.1/ WordPress.org secret-key service} * You can change these at any point in time to invalidate * @since 2.6.0 */ define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here'); /**#@-*/ |
代碼中的鏈接給出了一套密鑰規則,你可以用所給的規則來代替代碼中的四行 define 規則。