服務器端和.htaccess/ j; U" j" M' H8 k- U1 f' y7 [
5 T4 T9 L8 s: V; h& C保護WordPress網站安全的第一步自然是尋找安全的虛擬主機托管商。 服務器安全是所有安全措施的基礎。6 C+ ^4 D% b0 L
" e7 M# W/ x* w: F/ {) \3 V4 Z
鎖定.htaccess
3 r+ |/ A' q( W9 U3 P1 m
: @- j" D* b% P.htaccess文件有很多用途,但它最主要的功能,是防止黑客入侵。你可以在.htaccess文件裡指定一些有權登錄你的WordPress 後台的IP地址。
: D7 D& b: h# N* x2 o+ H# J0 \7 q! \, j" e1 i) E/ `
在.htaccess文件裡加入下面的代碼可以達到這個效果:
0 b \1 G/ G! b! f
9 ?2 n2 z. E, Y3 _+ L9 vAuthUserFile /dev/null% I, Y* O; e, S1 Z
) }; ~) ~3 o t' ]
AuthGroupFile /dev/null
. ~$ f. L4 I1 z3 w( ?' @- ^+ r; |5 E) b( Q1 b/ g) M% A
AuthName 「Access Control」
% I ]. e6 _8 G, [
/ o3 R4 X/ Z2 w* p/ x" tAuthType Basic/ X/ |! A/ J% N0 v
" m9 L3 x E) u8 Z% G4 Lorder deny,allow2 M4 x# T- I! y/ e; V5 p- X: m1 k$ E
0 |& x6 E5 i4 ~* f& O. a
deny from all3 d6 L& d! K; b% ~# q2 U( d
; y+ [ u0 c$ J# T$ {
#IP address to Whitelist
/ b) w. L. u$ ~% Z! a7 z5 O+ K, z; Z" q* W4 [5 t! s
allow from 123.456.789.012) O" a* \5 j& z3 W
# D+ E o$ i" J V3 q! g
用你指定的IP地址代替其中的123.456.789.012。! | I O {$ N( h1 H
5 s! Z1 E, {6 G
禁用目錄瀏覽+ h p y$ I* @2 |" U1 m {
一些服務器設置允許目錄瀏覽,即你可以通過http://yoursite.com/wp-plugins/這樣的鏈接看到自己的插件內容。 要禁用目錄瀏覽,只需要在.htaccess文件裡加上下面的代碼:# L2 Z: W1 m/ w/ [( A+ R0 W
2 z1 |6 q7 C$ W% sOptions All -Indexes% s& f! f" ?! F% j' Q, t
" k/ a% }& O$ |4 T( l2 `保護.htaccess+ a M- I' y: v" v
2 y# i( m: c+ W& f.htaccess文件的安全保護不容忽視。 首先你可以將文件的權限改為CHMOD 644。通過FTP登錄進入服務器,然後進入網站根目錄(通常是public_html文件夾,除非你為WordPress另設了一個獨立文件夾)。 找到.htaccess文件後右擊文件,將權限設為644。第二種方法是在.htaccess文件的最下部分加上以下代碼:6 S2 `4 `! \" d4 Z
5 v; B( B4 t; H: x9 Q p/ `
<Files wp-config.php>
: b ]/ u8 W* q) b. _0 aOrder Deny,Allow
3 g2 v& P6 V+ I0 N8 WDeny from All
7 j5 v6 u6 V) | |8 c6 H% W</Files>
. ?, {: S& z$ C1 t$ Q: H& o$ R! q0 x+ o) _+ J1 a7 A6 Q' a' |
優化wp-config文件
1 T% D' I3 A- u. j
# i( q" a% {5 O) l8 m W+ L.htaccess文件之後接下來是wp-config.php文件。 f3 ~3 c$ G( s4 Q, A: U
6 k6 Q* X# u6 h
移動wp-config文件+ X2 `* E- Z' o+ T
7 u" E! V, S8 C/ ^( N
從WordPress 2.6開始,WordPress用戶可以將wp-config.php文件移到當前安裝文件的上級文件夾中。 如果在當前WordPress目錄下沒有發現wp-config文件,WordPress會自動檢查wp-config文件是否在其上層目錄中。( @% N/ F" g, l2 k
9 l" ~# l; r) ]& F5 h- G" g1 [2 d
更改WordPress表前綴* E4 |0 S" C! v/ L7 P
" b7 h- f* `* _7 k( j3 G/ [) _8 N安裝時WordPress的默認表前綴是wp_。 剛剛安裝完後要修改WordPress表前綴是件很容易的事,但當你的WordPress網站已經運行了一陣子時,修改表前綴就不是那麼容易的事了。 WP Security Scan插件就是為了解決這個問題而出現的。 你可以用這個插件修改默認的表前綴。 這樣攻擊者在試圖進入你的WordPress文件時就又多了一層障礙。2 v, E; `% [. H! N" R9 U$ ?* j
. T- A/ O0 c# |$ W; B# e定義安全密鑰
& }& q5 O0 S. E7 G$ k- h: d
! d- G8 T! t8 z. a: \) g你可以在wp-config文件中看到下面的內容:/ I1 t0 Q; e) k) j% V( j! k
`. ]0 M7 c4 u* O g/**#@+. {+ r, N0 F D% F( b
*Authentication Unique Keys.& T: v' M3 Z/ L
* Change these to different unique phrases!4 f {, `4 I K) M2 m6 l6 f
* You can generate these using the) t3 @/ Z; K+ F( O( y
: e$ m ^ o4 P7 ~, K1 Y, z1 z{@link https://api.wordpress.org/secret-key/1.1/ WordPress.org secret-key service}; D! O$ C" ~' ^2 }; P8 S0 Z. G5 t
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.* Z: F1 d& A+ v0 i$ Q h& y* [
+ m- x7 i) k. v% [
* @since 2.6.0* @ m4 ?% H. o5 I$ m5 {
; b) z* f: _; W. [*/, o0 H4 x {7 a, `/ q
% T+ v2 v1 F6 h' i3 T5 L; L) Q
define(『AUTH_KEY』, 『put your unique phrase here』);
$ @' ]# p9 F; A
6 e; P: m) p, v6 I N/ Fdefine(『SECURE_AUTH_KEY』, 『put your unique phrase here』);
& X6 j( r7 b2 Y/ c" a
% C; n2 n% a1 Sdefine(『LOGGED_IN_KEY』, 『put your unique phrase here』);
8 B/ u6 s3 G0 Y1 W. ]3 n+ l U, y. e
define(『NONCE_KEY』, 『put your unique phrase here』);& @5 I( `- M r" |% h9 T' V
8 b- {9 X) Z. N/**#@-*/; b0 I/ E, H: w* ^' c9 N4 Z# e
+ s. Y& o# N s4 @" N: L代碼中的鏈接給出了一套密鑰規則,你可以用所給的規則來代替代碼中的四行define規則。
5 N0 X; B) O7 B, _2 r, q" n3 e: y, Q8 v2 _, F9 {
WordPress安全插件
/ U. {" \, q3 ]& V* q2 X- t; {* v4 p$ b$ O2 n* w& G& U
值得慶幸的是,WordPress擁有為數不少的安全插件。 下面只介紹一些最基礎最重要的安全插件。2 s2 Q2 U7 z( c
" q% g) I9 X, e. fWP Security Scan插件3 `/ e/ u" D- e) g0 Q6 ]5 [
( ~! h. Z. g6 @8 L+ k0 s" q
WP Security Scan插件會查看你的WordPress安裝文件,看是否有安全漏洞並給出相應的意見。 該插件的查看範圍包括:
8 U) @) y, s" f4 S* @ g9 V9 g& @+ V0 } [! y# t1 B
1、密碼
7 o# e4 _/ K; a% l2、文件權限 \. f4 \: H3 N
3、數據庫安全2 v) K1 _% R7 b, ~( S S& X/ D# {
4、版本號的隱藏6 ^- H0 ?$ Z' O9 s; d+ G2 W
5、WordPress後台安全3 a' {5 U; ]) O2 V2 I7 s
6、從核心代碼中移除WP Generator META標籤! o0 l9 c" }2 A `2 T) X+ E- u
. }& a! E; v, M( l% MLogin LockDown WordPress Security 安全插件 J5 x# d! k# H% a0 H
% O+ O; H& _3 W Q$ `
Login LockDown記錄嘗試登陸WordPress失敗的所有IP地址和時間。 如果插件發現短時間內同一個IP段內多次登錄失敗,插件會對禁止該IP段內所有登錄請求。 Login LockDown有效阻止了暴力破解密碼。
% W; V7 I% O0 C0 Z% d
: e# i3 M3 N' o. O
9 F1 j9 o9 Z: N" ~: |0 S" |9 [) M/ ]Stealth Login插件3 f( H/ n& p$ H- h/ e6 y( Y
+ P8 G f# A% q6 l' |: l
用戶可以通過這款插件自定義登錄、登出、註冊所用的URL。
* f& y) r1 S B/ N
0 t0 z, \2 e3 G0 r/ {# N: rAntiVirus for WordPress插件- p0 s2 k2 x: k- |/ M3 v, r7 }" ^
" n0 l" ]9 C5 dAntiVirus for WordPress是一款保護Blog不被採集和垃圾評論入侵的有效插件。 這款插件的用途包括: 檢測可能存在的平台漏洞、病毒感染、惡意鏈接等。AntiVirus for WordPress還可以給你發送郵件通知和白名單。安全預防措施( _% H& W/ C1 J+ q, e! P8 J
& I5 b. n6 a, ^0 C- M1 Y* G) h
以下是一些簡單的安全預防措施:
) d h) K9 d; Z. ?0 _+ g8 |6 G8 h& C P3 k! j
1、時將WordPress和插件都更新到最新版本8 A& C- M8 y- ~7 Q) s
2、除不用的WordPress主題和插件
/ L& b! G% Q5 L* m, r9 U6 S3、用安全程度較高的密碼
; Y7 {8 }1 k# A" K) I1 S+ n4、使用「admin」為登錄名
3 m' c' G% `6 \$ W C5、WordPress文件規定正確的文件許可權限! k. [1 J4 e, W9 p% h3 S' t
6、期備份WordPress數據庫(可利用備份插件) |
|
發表於 2010-5-27 13:32:36
提升卡
沉默卡
变色卡