多數人不會在維護 WordPress 安裝上耗費過多時間。 儘管如此,WordPress 的安全問題仍然應該放在最重要的位置上。
伺服器端和.htaccess
保護 WordPress 網站安全的第一步自然是尋找安全的虛擬主機託管商。 伺服器安全是所有安全措施的基礎。
鎖定.htaccess
.htaccess 檔案有很多用途,但它最主要的功能,是防止駭客入侵。你可以在.htaccess 檔案裡指定一些有權登入你的 WordPress 後臺的 IP 地址。
在.htaccess 檔案里加入下面的程式碼可以達到這個效果:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny,allow deny from all #IP address to Whitelist allow from 123.456.789.012 |
用你指定的 IP 地址代替其中的 123.456.789.012 。
停用目錄瀏覽
一些伺服器設定允許目錄瀏覽,即你可以透過 http://yoursite.com/wp-plugins/這樣的連結看到自己的外掛內容。 要停用目錄瀏覽,只需要在.htaccess 檔案里加上下面的程式碼:
| Options All -Indexes |
保護.htaccess
.htaccess 檔案的安全保護不容忽視。 首先你可以將檔案的許可權改為 CHMOD
644 。透過 FTP 登入進入伺服器,然後進入網站根目錄 (通常是 public_html 資料夾,除非你為 WordPress 另設了一個獨立資料夾) 。
找到.htaccess 檔案後右擊檔案,將許可權設為 644 。第二種方法是在.htaccess 檔案的最下部分加上以下程式碼:
<Files wp-config.php> Order Deny,Allow Deny from All </Files> |
最佳化 wp-config 檔案
.htaccess 檔案之後接下來是 wp-config.php 檔案。
移動 wp-config 檔案
從 WordPress 2.6 開始,WordPress 使用者可以將 wp-config.php 檔案移到當前安裝檔案的上級資料夾中。
如果在當前 WordPress 目錄下沒有發現 wp-config 檔案,WordPress 會自動檢查 wp-config 檔案是否在其上層目錄中。
更改 WordPress 表字首
安裝時 WordPress 的預設表字首是 wp_。
剛剛安裝完後要修改 WordPress 表字首是件很容易的事,但當你的 WordPress 網站已經執行了一陣子時,修改表字首就不是那麼容易的事了。
WP Security Scan 外掛就是為瞭解決這個問題而出現的。 你可以用這個外掛修改預設的表字首。
這樣攻擊者在試圖進入你的 WordPress 檔案時就又多了一層障礙。
定義安全金鑰
你可以在 wp-config 檔案中看到下面的內容:
| /**#@+
* Authentication Unique Keys. * Change these to different unique phrases! * You can generate these using the {@link https://api.WordPress.org/secret-key/1.1/ WordPress.org secret-key service} * You can change these at any point in time to invalidate * @since 2.6.0 */ define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here'); /**#@-*/ |
程式碼中的連結給出了一套金鑰規則,你可以用所給的規則來代替程式碼中的四行 define 規則。