原文地址:http://www.eweek.com/security/slideshows/eight-steps-to-eliminating-security-risks-in-wordpress.html?utm_source=tuicool
WordPress的流行令其成为了攻击的对象。如果你是在wordpress.com上搭建,那么wordpress.com将帮你包办安全措施。而如果你是取得wordpress.org的认证然后自行搭建服务器,那你就得自己留心这些复杂的安全问题了。去年的很多安全事故就是自有wordpress服务器被攻击或充当了攻击者。三月份,pingback URL tacking功能就被滥用为广泛攻击器。六月份,Timthumb的漏洞也被利用。以下是一些降低安全风险的指引。
1.保证服务器软件是最新的
如果你是在自有的服务器上搭建WordPress,请保证核心的服务器软件是最新的,包括操作系统,web服务器,PHP,MySQL。
2.使WordPress能自动更新
从2013年10月的3.7版开始,WordPress能设置成自动更新打补丁。
3.更新所有组件和主题
以上两点还不够,组件和主题的更新也很重要。WordPress提供了一个易用的界面来告诉你哪些项需要更新。
4.Log in需要SSL
管理员的log in必须通过HTTPS/SSL。不然的话,管理员的密码就会被很容易地解析得到。
5.考虑使用双重验证
无论使用wordpress.com还是自有网站,都应实施双重验证(加多个第二密码或问题)来多一层保护。
6.使用WordPress安全组件
7.检查自己是否在攻击别人
Sucuri还能检查你自己的网站是否在发出DDoS攻击。
8.参考WordPress的自保指南
WordPress会在这个网站定期更新自保手册。