網站的安全性在任何時候都是很重要的,特別是在網站經營若干年之後,有了更多的資料,更要保證網站的安全性,使用 WordPress 搭建的網站更是如此,特別是現在 WordPress 使用者越來越多,使用越來越廣泛,所以,被研究,被攻擊,也是必然的。
本篇文章裡提到的都是在 WordPress 安裝之後的操作。
1,經常備份;
備份的意思,是檔案和資料庫都要備份,而且也包含附件。備份可以根據各自的特點來操作,比如 WordPress 的程式,如果不是每天都在修改
WordPress 的話,只要在每一次修改 WordPress 程式之後備份一次即可;附件,比如壓縮包和圖片,如果是儲存在主機當中,那建議每週備份一
次,畢竟每次備份到其他空間或者本地,是要消耗流量的;如果本身已經儲存在第三方的網盤上,那就無需單獨備份了;資料庫,也每週備份一次即可。
這裡推薦一款很好用的 WordPress 備份外掛:BackWPup
WordPress 備份的三個原則:
a, 備份檔案不能儲存在相同的空間中;
b, 必須是自動備份的;
c, 設定備份檔案的次數,比如保留最新的 5 次備份等;
2,保持 WordPress 程式在最新版
WordPress 是一款開源的程式,因此有很多愛好者都很喜歡,而且發現問題都會及時的提交到 WordPress 官方,之前幾次的更新,都是提交之後,WordPress 官方及時更新處理,所以,保持 WordPress 一直在最新版,可以有效的避免安全問題;
3,使用複雜的密碼並且經常更新
密碼有兩個,一個是 WordPress 的登陸密碼;另外一個是主機的密碼;不要只使用數字和字母,空格,~!@#這種也可以用,當然要記得,而且不定期更新,保證密碼的安全性,但要自己記得。
4,經常檢查 WordPress 程式
這裡需要說一下 WordPress 的許可權,在 linux 主機,執行在 cgi 模式下的 WordPress 程式,資料夾的許可權是:755;檔案的許可權
是:644;.htaccess 的許可權也是 644(有些檔案,比如 sitemap 的 xml 可能需要 777 的許可權,就 WordPress 本身的許可權,按照上
面說的即可) 。
透過主機控制面板,是可以看到許可權的,如果有檔案許可權不對,建議先修改成正確的,然後開啟檔案,檢視是否有惡意程式碼;常被入侵的檔案有三個:根目錄的 wp-config.php;index.php 和當前主題中的 functions.php 。
現在國內也有很多檢測安全的網站,但還是建議使用國外的吧,比如:http://www.sucuri.net,當然 cPanel 主機 (http://idc.wopus.org/foreign/cp/) 控制面板目前已經內建了病毒掃描工具。
5,設定 WordPress 的 security keys
安裝 WordPress 之後,在 wp-config.php 檔案中,有 security keys,可以在 https://api.WordPress.org/secret-key/1.1/salt/ 中生成,都是隨即的,直接複製到 wp-config.php,儲存即可。
6,選擇性的使用 WordPress 外掛和主題
其實很簡單,外掛和主題,儘量使用 WordPress 官方的。
我們遇到過極端的情況,一個 WordPress 愛好者製作了幾款主題,都免費分享了,但他的主機被入侵了,所有的主題,都被插入了惡意程式碼,於是,
使用之後,就悲劇了;當然這種情況也出現在 WordPress 官方,也被入侵過,但 WordPress 很好的處理,並且加強了預防。
外掛更是如此了,使用之前,先衡量一下,是否真的需要。
WordPress 的使用者,都喜歡折騰,主要就是折騰主題和外掛,但有選擇性的,可以很好的保證 WordPress 安全性。其實,透過主題和外掛威脅 WordPress,是當前一種主流的方式。
如果您有其他的建議或者好的經驗,請留言,我們會不斷更新,希望大家都有安全的 WordPress 網站。