站點安全永遠是一個不可忽視的問題。 Wordpress 本身在站點安全上做的非常好,然後由於使用者的自身問題,導致駭客能夠輕易的進入你的 Wordpess 站點。其危害是顯而易見的,重則站點資料丟失,不能正常訪問,輕則網站主題模版被盜。下面筆者結合 Wordpress 多年部署經驗,談談如何增強 Wordpress 站點安全。
一、永遠不要使用 「admin」 作為登入使用者名稱
我們都知道,在 Wordpress 安裝過程中預設情況下會使用 「admin」 作為登入使用者名稱。使用者為了省事,不願修改,致使駭客們輕易的跨出了第一步。
二、提供獨特的密碼
WordPress 密碼採用的是 MD5 演演算法,和簡單的密碼 MD5 加密後使用網上的免費 MD5 解密程式很快就可以算出。所以為了安全,獨特的密碼是必須的。什麼樣的密碼是獨特的:(1) 長度至少 12 位,(2) 包含字母和數字,(3) 其中一個字母大小寫都有,(4) 包含特殊字元如 #,@等。
三、安裝登入安全外掛
WordPress 外掛庫裡有一個 limit login attempts 安全外掛,安裝啟用後,進行設定即可。這個外掛可以阻止駭客去猜測登入名和密碼。你可以設定三次嘗試失敗後,就可以鎖定登入。當然過期時間也是由你設定。
四、及時更新 WordPress 核心檔案
WordPress 的更新是很平凡的。用於使用者多,很容易發現問題。一旦發現問題,WordPress 就會有解決方案,提供更新。有的使用者擔心主題不適合新版本而不敢更新,這是不必要的。記住一句話:永遠要讓你的主題適應 WordPress,而不是 WordPress 適應主題。
五、及時更新主題
現在的主題越來越多使用第三方程式碼,如幻燈片、縮圖等,這些都會成為安全隱患。如前段時間發現的縮圖安全隱患,如果你還是使用沒有修補的程式碼,這就容易被駭客利用。另外建議 WordPress 不要安裝除了當前使用的和預設主題以外的主題,因為有些主題可能會帶來安全漏洞。
六、及時更新外掛
有的主題開發商為了怕麻煩,在函式檔案裡遮蔽了外掛更新提示,這樣做是對使用者的不負責任。因為外掛也存在一定的安全隱患。在選擇外掛時,不要選擇沒人維護的外掛。一般要到官方外掛庫下載除非是商業外掛。
七、管理帳號與釋出文章帳戶分離
管理員帳戶如果用來發布文章,那麼你的使用者名稱就向世界公開了。 Wordpress 已經考慮了這一點。允許你建立編輯使用者。所以要好好了利用這一點來隱藏管理員帳戶。
八、設定顯示名
如果你不願意用編輯使用者來發布文章,那麼就設定顯示名。這樣在你釋出文章的時候,就不會把管理員帳號顯示出來。
我想如果你注意了以上八步,你的 WordPress 站點不會被駭客輕易的進入。