WordPress 是目前世界上使用廣泛的部落格軟體,比較容易受到各種攻擊,因此 WordPress 安全性也是非常重要的,以下有 10 個安全技巧,可以幫助你輕鬆的解決 WordPress 安全性問題,以免你在 WordPress 的安全性上走更多的彎路。
1 、升級 WordPress 到最新版本
一般來說,新版本的 WordPress 安全性都會比老版本要好一些,並且解決了已知的各種安全性問題,特別當遇到重大的版本升級時,新版本可能會解 決更多的關鍵性問題。 (例如老版本 WordPress 有 remv.php 重大漏洞,可能會導致遭受 DDoS 攻擊,升級到最新版本可解決這個問題)
2 、隱藏 WordPress 版本
編輯你的 header.php 模板,將裡面關於 WordPress 的版本資訊都刪除,這樣駭客就無法透過檢視原始碼的防治得知你的 WordPress 有沒有升級到最新版本。
3 、更改 WordPress 使用者名稱
每個駭客都知道 WordPress 的管理員使用者是 admin,具有管理員許可權,會攻擊這個使用者,那麼你需要建立一個新使用者,將其設定為管理員許可權,然後刪除老的 admin 帳號,這就能避免駭客猜測管理員的使用者名稱。
4 、更改 WordPress 使用者密碼
安裝好 WordPress 後,系統會傳送一個隨機密碼到你的信箱,修改這個密碼,因為這個密碼的長度只有 6 個字元,你要將密碼修改為 10 個字元以上的複雜密碼,並儘量使用字母、數字、符號相混合的密碼。
5 、防止 WordPress 目錄顯示
WordPress 會預設安裝外掛到/wp-content/plugins/目錄下,通常情況下直接瀏覽這個目錄會列出所有安裝的外掛名,這很糟 糕,因為駭客可以利用已知外掛的漏洞進行攻擊,因此可以建立一個空的 index.html 檔案放到這個目錄下,當然,修改 Apache 的.htaccess 檔案也可以起到相同的作用。
6 、保護 wp-admin 資料夾
你可以透過限定 IP 地址訪問 WordPress 管理員資料夾來進行保護,所有其他 IP 地址訪問都返回禁止訪問的資訊,不過你也只能從一兩個地方進行 部落格管理。另外,你需要放一個新的.htaccess 檔案到 wp-admin 目錄下,防止根目錄下的.htaccess 檔案被替換。
7 、針對搜尋引擎的保護
很多 WordPress 系統檔案不需要被搜尋引擎索引,因此,修改你的 robots.txt 檔案,增加一行 Disallow: /wp-*
8 、安裝 Login Lockdown 外掛
這個外掛可以記錄失敗的登入嘗試的 IP 地址和時間,如果來自某一個 IP 地址的這種失敗登入超過一定條件,那麼系統將禁止這一 IP 地址繼續嘗試登入。
9 、 WordPress 資料庫安全
資料表最好不要使用預設的 wp_開頭,安裝資料庫備份外掛,無論做了多少保護,你還是應該定期備份你的資料庫,使用 WordPress Database Backup 等外掛可以實現資料庫的定期備份。
10 、安裝 WordPress Security Scan 外掛
這個外掛會自動按照以上的安全建議對你的 WordPress 進行掃描,查詢存在的問題,使用較為簡單。