WordPress 是一款功能和安全性都十分強大部落格 CMS 系統,目前在全球使用非常廣泛。很多個人部落格,企業部落格等等都是用 WordPress 平臺。網站安全應該是每一個站長必須隨時注意的,我們應該先做好防範措施,而不是等到站點被黑,資料庫被盜才想到安全性。 WordPress 也一樣,雖然很多 WordPress 使用者都認為它非常安全,但它也可能被駭客攻擊。所以本文就總結了幾點 WordPress 博主必須要做的安全設定。
一、 WordPress 資料庫操作許可權的安全設定
首先說說資料庫的安全設定。我建議你最好單獨給 WordPress 建一個資料庫,最好不要跟其它網站或應用共享一個資料庫。因為如果其中一個網站有漏洞,駭客進入了資料庫,這就威脅到了整個資料庫表的安全。然後還應該設定 WordPress 資料庫的操作許可權,比如,哪些賬戶可能有 insert 、 delete 和 create 許可權,哪些只有 select 許可權等。
另外各個資料庫賬戶的密碼一定要非常強壯,最好用密碼管理軟體生成一串包含數字、字母和符號的隨機密碼。關於許可權設定,你可能參考以下程式碼:
$ mysql -u root -p
mysql> create database 'myblog';
mysql> grant select, insert, delete, update, create, drop, alter on myblog.* to 'bloguser'@'localhost' identified by 'mypassword';
mysql> flush privileges;
mysql> exit;
二、修改預設管理員帳戶密碼
不要在管理員的使用者名稱中使用諸如 Admin 這樣的名稱,你可以直接用 MySQL 開啟資料庫,直接修改資料庫中的管理員使用者名稱。表名為_users 。也一定注意管理員的密碼。要跟上面設定資料庫的密碼一樣,要弄得複雜一些,最好有大寫字母、小寫字母、數字和符號。可以考慮用一些密碼管理軟體,如 KeePass 等來儲存密碼。
三、使用加密路徑訪問
這一條不是很覺見,因為很多站點一般是不支援 SSL(HTTPS) 的訪問模式,需要付費。但 WordPress 是支援用 HTTPS 的方式訪問的。如果你的伺服器支援 HTTPS,你一定使用加密方式訪問後臺。因為如果使用一般的 HTTP,你的密碼可能會被人用抓包嗅探軟體擷取到。要啟用 HTTPS 訪問後臺的方式的話,你需要在 wp-config.php 中加入以下程式碼:
define('FORCE_SSL_ADMIN', true);
四、及時升級到新版本
新版本的釋出除了新功能一定還有對漏洞的修復。所以當有新版本釋出時,你一定要重視瞭解下此版本修復了哪些漏洞。要及時下載最新安裝包更新到新版本。
五、定期備份 WordPress 資料庫和檔案
一定要定期備份資料庫。因為一旦資料庫被入侵破壞,你可以將資料庫恢復過來。誰都不想倖幸苦苦做的內容瞬間化為灰燼。你可以找找 WordPress 資料庫備份的外掛,有些外掛可以設定定期自動執行備份操作。有一款叫 WP-DB Manager 的外掛可以自動將備份傳送到你的 Gmail 郵箱。
除了備份資料庫以外,也應該把 WordPress 的檔案做定期備份。特別是當你對程式碼做了很大的修改的情況下,比如外掛、主題模板等,你更應該對原始碼做一下備份。萬一 WordPress 被攻擊,恢復起來也容易得多。
六、遮蔽資料夾目錄瀏覽
有些主機可能允許瀏覽目錄結構,這個的安全隱患非常大。瀏覽目錄結構表示駭客可以看到你所有的檔名。最簡單的辦法是在每個目錄下面都放上一個空內容的 index.html 檔案。這樣訪問者就只能看到一個空白的頁面了。要關閉 Apache 的目錄瀏覽也很簡單,只需要在根目錄的.htaccess 檔案中新增這行程式碼:
Options All -Indexes
七、不要在頁面程式碼中輸出 WordPress 版本號
你的 WordPress theme 的程式碼在 Meta 段肯定沒有顯示版本號,但是版本號可以透過一些方式讀取到。要在 functions.php 檔案中新增下面這行程式碼:
如果你的 WordPress 沒有這個檔案,你可以建立一個,然後新增上這行程式碼。