本帖最後由 夢雨 於 2013-6-20 15:25 編輯 6 Z6 A g3 Y1 `- j" o& L
" H- d: Q+ R! F$ v' _7 H如何提高WordPress站點安全?
& p$ `: i$ Q$ \5 q, A: c3 W如何提高WordPress站點安全,是我們每個WordPress用戶需要重視的問題。網站安全涉及主機服務器和WordPress源碼等方面。
# C" q7 |' P! _6 N! u* R0 N9 p4 T1.選擇安全可靠的主機 $ P) }5 K/ l; a! P8 @, X
謹慎選擇一款安全可靠的主機,不要使用免費主機和劣質主機。免費主機只適合用來學習程序和建站方法,但是不建議使用免費主機來托管正式上線的網站。當然了,最好也不要使用那些特別廉價,管理經驗不足的主機商的服務。
+ s2 A: W% A. ]7 y6 t4 \$ _2.升級到WordPress最新版 " Q5 d- K3 M$ O) }9 X' e% D
只從WordPress官方下載源碼,不要到第三方網站下載。盡可能升級到WordPress最新版,及時修補程序漏洞,包括WordPress核心源碼、WordPress主題以及WordPress插件。 7 a1 L% ]3 m; F* R
3.使用官方WordPress主題和插件 * R, i& x* j: p% F6 J) i" ?
這裡所說的官方,一是WordPress官方,二是主題或插件開發者的官方,盡量避免使用「破解」版主題、插件,慎用網上傳播的原本是收費,但是被人惡意提供免費下載的主題、插件。 7 {/ F# Z5 U( A- u
4.修改數據庫默認前綴 wp_
* {7 `# A e% x% Y很多朋友安裝WordPress都沒有修改數據庫前綴,如果你打算修改默認的前綴 wp_ ,請根據 如何修改 WordPress 數據庫前綴 來修改。
4 i, u0 ^2 `* h: u5.修改默認的用戶名 admin
1 m( {: @9 [7 a) V; J o8 N! \WordPress3.* 以上已經支持安裝時自定義登錄用戶名,如果你使用默認的admin,建議你根據下面的方法進行修改:
2 X2 @% H- L- F1 g0 a% M2 ^方法一:後台新建一個用戶,角色為管理員,然後使用新用戶登錄,刪除默認的 admin 用戶。
# ? }" l- Y! I6 r' E$ {" @: V方法二:登錄phpmyAdmin,瀏覽當前數據庫的 wp_users 數據表,將user_login 和user_nicename 修改為新用戶名。
" C. O( i% I: j% X/ a [同時建議修改 「我的個人資料」中的的暱稱,然後設置「公開顯示為」非用戶名的其他方式: & b4 P j$ ^7 [6 A) U* v) f# N& R
' S; f& ~9 y6 ^3 J T( @9 r+ N, q* p0 o1 @; W# a0 }
6.使用高級密碼,經常更換密碼
: u' S; o4 k, S1 h2 S7 [, r建議使用含 大寫字母、小寫字母、數字和其他符號 的複雜密碼,比如nuH4j&*aHG%dMz ,避免使用生日、手機號、QQ號等。
" I) M7 I) n8 o: {7.隱藏WordPress版本信息 ! n _9 G# t5 J
默認情況下會在頭部輸出WordPress版本信息,你可以在主題的 functions.php 最後一個 ?> 前面添加:
9 B% I _7 P) @
( v6 w9 C5 Q# f( q. X) @! E& @8.修改wp-admin目錄的訪問權限 * s9 ?$ S/ F* H) t1 q4 U
你可以通過限定IP地址訪問WordPress管理員文件夾來進行保護,所有其他IP地址訪問都返回禁止訪問的信息。另外,你需要放一個新的.htaccess文件到wp-admin目錄下,防止根目錄下的.htaccess文件被替換。
, F8 W" I" t U) U+ @& d5 @9.定期備份網站數據
# G& s6 ?( S8 G9 _% U% E; i可以借助WordPress備份插件進行自動備份或手動備份:
% ?! W7 |, F4 t$ g( |1 J9 EWordPress數據庫定時備份插件:WordPressDatabase Backup
/ N" U, D! A c4 J/ X使用WordPress自帶導出導入功能備份和恢復網站
& o) S4 K% U2 I+ y+ j9 OWordPress克隆/備份/搬家插件:WP Clone
7 o2 U. g; E7 V# F+ x9 P yWordPress超強備份插件:BackWPup(支持FTP/Email/本地/網盤)
7 F* D9 }- d( @) v& B/ ^10.安裝安全插件
+ d6 F4 K" [+ o' PWordPressFirewall 2 `9 }0 ~$ L" f/ a" Z, F
該插件可以幫助你識別/阻止一些有效的攻擊,例如 目錄掃瞄、SQL注入、WP文件掃瞄、PHPEXE掃瞄 等,並可將其定向到404或者首頁。如果有問題還可以通過電子郵件通知你處理,還可以阻止一些IP的訪問。 ! L, j# g6 E1 j E* S- M: k
Better WPSecurity
/ ^* b. U$ c+ D! U7 _+ K1 _/ G由於大多數的WP網站存在插件漏洞、弱口令、過時的插件/程序,隱藏這些漏洞可以更好的保護網站,例如保護登錄和管理區(控制面板?儀表盤?)。 . i0 A3 n# H! ~1 B9 @/ W/ t
Login Lockdown 8 e% v, e1 o+ R2 @* p# U5 [
這個插件可以記錄失敗的登錄嘗試的IP地址和時間,若是來自某一個IP地址的這種失敗登錄超過一定條件,那麼系統將禁止這一IP地址繼續嘗試登錄。 % ?( o' I9 Z: n4 @3 i3 a9 c
Limit LoginAttempts - Z' b* C! ~' o9 V* \/ I! b7 u
LimitLogin Attempts 限制登錄嘗試的次數來防止暴力破解,增強WordPress 的安全係數。 3 i. t3 t: q: @; |8 A% H
WP Security Scan
: B& _+ k7 C3 t; w$ e/ b該插件會自動按照以上的安全建議對WordPress進行安全掃瞄,查找存在的問題。 引用原文:http://www.wpdaxue.com/improve-wordpress-security.html' i) h: F5 ^) E$ e& V* H
3 F( ^$ ~! Y: a3 X. k* a
& ^: @* z( l# j4 t' M% ?( w
8 U' X) B( a5 m, o; A- ^. Q
| 
發表於 2013-6-20 15:22:31
提升卡
沉默卡
变色卡
。。。。。。。+ C" p- e5 o% {& j: Q/ v# h4 g