本帖最後由 夢雨 於 2013-6-20 15:25 編輯 1 o! g' z C+ F+ j6 {/ {0 K
9 ]8 |# A) _) h9 S. J& i1 ]1 `
如何提高WordPress站點安全? % W. n; B, L, s# Q$ W$ O
如何提高WordPress站點安全,是我們每個WordPress用戶需要重視的問題。網站安全涉及主機服務器和WordPress源碼等方面。
! }) G: e. Z G) N% p: u1.選擇安全可靠的主機 0 y1 p; _) ~, g4 o/ T F- W
謹慎選擇一款安全可靠的主機,不要使用免費主機和劣質主機。免費主機只適合用來學習程序和建站方法,但是不建議使用免費主機來托管正式上線的網站。當然了,最好也不要使用那些特別廉價,管理經驗不足的主機商的服務。 2 ]6 \7 _/ M) ~' p
2.升級到WordPress最新版 # x; \% ]0 J! O% k- n- J
只從WordPress官方下載源碼,不要到第三方網站下載。盡可能升級到WordPress最新版,及時修補程序漏洞,包括WordPress核心源碼、WordPress主題以及WordPress插件。 ) m- m+ \" @2 a& A7 e
3.使用官方WordPress主題和插件 : y: N* p i9 V3 f
這裡所說的官方,一是WordPress官方,二是主題或插件開發者的官方,盡量避免使用「破解」版主題、插件,慎用網上傳播的原本是收費,但是被人惡意提供免費下載的主題、插件。 # e5 \9 ^. c% I1 e+ d
4.修改數據庫默認前綴 wp_
3 E2 L7 {2 V% E0 |4 H7 B. B! W很多朋友安裝WordPress都沒有修改數據庫前綴,如果你打算修改默認的前綴 wp_ ,請根據 如何修改 WordPress 數據庫前綴 來修改。 2 o# F4 J3 D% W4 W6 i0 U
5.修改默認的用戶名 admin
/ i) r7 X4 ?% |4 F! e C. VWordPress3.* 以上已經支持安裝時自定義登錄用戶名,如果你使用默認的admin,建議你根據下面的方法進行修改:
" X* M& B) i0 q/ u方法一:後台新建一個用戶,角色為管理員,然後使用新用戶登錄,刪除默認的 admin 用戶。
/ `, p/ @! n0 \方法二:登錄phpmyAdmin,瀏覽當前數據庫的 wp_users 數據表,將user_login 和user_nicename 修改為新用戶名。
( v7 }1 ] l; a+ l0 I! y同時建議修改 「我的個人資料」中的的暱稱,然後設置「公開顯示為」非用戶名的其他方式: ! T3 w4 n: l& B1 ^" F+ q
. C7 O% ^3 g2 F
& K- G1 ]9 G8 S% t/ r1 w, z
6.使用高級密碼,經常更換密碼
/ E+ k0 s* Y4 p0 w( q9 x建議使用含 大寫字母、小寫字母、數字和其他符號 的複雜密碼,比如nuH4j&*aHG%dMz ,避免使用生日、手機號、QQ號等。 5 ~: o; m# E+ v" x1 R; Z V1 M/ C- J
7.隱藏WordPress版本信息
4 q; {, R3 i9 i0 D: E( i$ t2 J6 [默認情況下會在頭部輸出WordPress版本信息,你可以在主題的 functions.php 最後一個 ?> 前面添加: ; A7 t+ e9 W9 V! ~9 u
; S, E4 f! D: T0 y
8.修改wp-admin目錄的訪問權限 # ?! J% q. k+ q( }+ z
你可以通過限定IP地址訪問WordPress管理員文件夾來進行保護,所有其他IP地址訪問都返回禁止訪問的信息。另外,你需要放一個新的.htaccess文件到wp-admin目錄下,防止根目錄下的.htaccess文件被替換。 # b5 J S, {; m3 X$ i0 s
9.定期備份網站數據
( G B& A6 S' s5 c5 j" D可以借助WordPress備份插件進行自動備份或手動備份:
) Z( Q; X0 R9 [: @7 TWordPress數據庫定時備份插件:WordPressDatabase Backup
9 j' \0 _# p' j$ I* U8 B使用WordPress自帶導出導入功能備份和恢復網站 8 k% Y8 c0 A% k0 j7 Q, k
WordPress克隆/備份/搬家插件:WP Clone 1 E4 ~. k5 ~; B% F- M
WordPress超強備份插件:BackWPup(支持FTP/Email/本地/網盤) 6 M! C" A" |. z1 _ v4 \( A
10.安裝安全插件 % o* V. s/ W2 j8 |. ^5 x: ?0 n
WordPressFirewall 2 ( y( @4 `/ q+ P/ Z: p7 I( V
該插件可以幫助你識別/阻止一些有效的攻擊,例如 目錄掃瞄、SQL注入、WP文件掃瞄、PHPEXE掃瞄 等,並可將其定向到404或者首頁。如果有問題還可以通過電子郵件通知你處理,還可以阻止一些IP的訪問。 ( b: {. @8 a _) k8 \, p
Better WPSecurity / c* b8 h- @* {0 l) T6 _
由於大多數的WP網站存在插件漏洞、弱口令、過時的插件/程序,隱藏這些漏洞可以更好的保護網站,例如保護登錄和管理區(控制面板?儀表盤?)。
M; t4 Q2 r8 B$ T6 t, ALogin Lockdown 6 b# L K, v4 {) Z4 n) K4 j5 f& _+ C
這個插件可以記錄失敗的登錄嘗試的IP地址和時間,若是來自某一個IP地址的這種失敗登錄超過一定條件,那麼系統將禁止這一IP地址繼續嘗試登錄。 ( i' f& s# t- ~0 N9 M7 i$ i
Limit LoginAttempts
0 E7 p9 T: Z# u+ {; u8 X2 |! o5 xLimitLogin Attempts 限制登錄嘗試的次數來防止暴力破解,增強WordPress 的安全係數。
7 i+ I, X6 u! z/ KWP Security Scan
. T! _( u! a3 S1 ?, g該插件會自動按照以上的安全建議對WordPress進行安全掃瞄,查找存在的問題。 引用原文:http://www.wpdaxue.com/improve-wordpress-security.html
) [/ U+ o% f* G5 P9 G
% C3 t* x" b) {( x7 S8 V0 z8 N& }* Q# z: I$ v4 U: |
- @; y# z* n: g8 F! Z7 Q! B
| 
發表於 2013-6-20 15:22:31
提升卡
沉默卡
变色卡
。。。。。。。: i! |8 t/ T! P* v# ^) C1 L) Q