WordPress优化之安全

用了一段时间的WordPress之后发现自己越来越爱这个程序了，至今没有遇到什么不好的方面（呵呵，有听说他的速度不怎么样，但是自己的服务器速度还不错，所以没遇到这样的问题）。但是我有一个朋友网站被人挂了马之后直到现在Google上还没怎么有他的信息，一直在我们面前说Google怎么不好啊，怎么现在还不把他列入白名单啊什么的，所以也觉得有必要把安全做一下，安全问题是这样的，没有遇到的时候你会觉得没有必要，但一旦遇到了，就会后悔以前怎么没有做这方面的优化啊！！！ 首先说一些普遍有用的东西，呵呵，就是那些无论是你不是WordPress都很有用的信息。。。比方说挂马监测的服务，现在网上比较流行的有三个，一个是收费的，两个是免费的。 首先说一下，一般情况下免费服务只能做监测，无法给你的网站杀毒，原因是除了你之外理论上是没有人可以改变你的网页的（当然那些黑客就不说了）。那些做监测的当然也不行，人家是免费的服务，如果改动了你的网页，你又不满意，去投诉人家，人家这不是没事找事嘛！！！。至于收费的服务，只有当你把网站的管理权限都交给别人的时候他们才能给你杀毒。呵呵，不多说了，下面就介绍一下这三个站： 1、360网站安全监测中心 我一直觉得360的木马监测做的是很好的，所以这个服务值得一试。 2、瑞星云安全网站联盟 这个是通过瑞星的杀毒软件得到结果，然后发送给用户，不错的服务 3、绿盟网站安全监测服务 这是一个收费的服务，听他说的还不错，但没听有什么人在用。 针对WordPress的优化： 1、升级版本 这是一个简单但很实用的方法。有很多用户觉得一个插件啊什么的怎么什么也没改但是要一次又一次的升级，太麻烦了吧。。。我也觉得有些麻烦，但你要知道，当一个新的版本出来而没有新的功能是那一定是改进一些安全漏洞。这对安全还是有很大帮助的（当然，这样的升级一般是挡不住真正的高手的，只能挡住那些靠用别人发布出来的漏洞来来进行攻击的用户，但是网上的黑客大多数都是这样子的，真正的高手只是少数，而且我一直认为高手都会有自己的素养，不会无故的去攻击不相关的人）。但是这还是不怎么提倡用太新的版本，一个新的版本出来可能会改进以前的一些缺点，但是不可避免的带入很多的漏洞，所以我个人一直觉得一个版本到了*.2才用最好。更不要用什么beta版本。。。呵呵，所以自己还没有升级3.0 再就是一些插件，及时的升级一下，这个简单，一版单击个Button就好啦，不要太懒！！！ 不过据说用Subversion可以更简单的进行升级，我看了一下资料，没看懂。如果谁看懂了，教我一下。。。 2、两个不太有用的方法 （1）去除标题中的版本号，可以用一下，至少可以减少查询。。。对安全作用不是很大（现在有的工具可以用其他方法检测）。 （2）不用Admin用户，无论用哪一个用户都可以从你发表的文章中发现用户名（如果不在页面中显示用户名这个作用还是不少的。） 3、用户登陆限制 可以设定允许的ip，要在wp_admin下面新加一个.htaccess文件，在下面写allow from 123.123.123.123，这个就可以限定ip啦。。不过不要弄得自己想写个文章都不行，哈哈。。。 4、对wp_config.php文件进行修改 （1）点击登录 http://api.wordpress.org/secret-key/1.1/，然后把自动生成的代码复制下来并覆盖 wp-config.php 文件里面的对应内容。这4个东西你不用记住，但是越复杂越好，是用来加密Cookies等东西的。 （2）把 $table_prefix = ‘wp_’; 的“wp_”改成别的，例如“ wp_xxx”。改数据表前缀的好处就不用我说了吧。。。 （3）如果您的服务器有 SSL 加密，添加以下代码到 wp-config.php 文件： define(’FORCE_SSL_ADMIN’, true); 这是一种加密技术，会消耗很大的资源。。。所以不太提倡大家使用，除非你对安全要求特别高。 （4）您也可以根据 WordPress Codex 对其他部分进行修改。 5、保护wp_admin文件夹 （1）、把 Htpasswd generator 生成的内容添加到 .htpasswd 文件； （2）、把 htaccess-authentication 生成的内容添加到 .htaccess 文件。 这是在其他地方找到的，没验证过。。。 wordpress安全插件： 1、 Login LockDown或者 Limit Login Attempts ，设定允许登录资料填错的次数。 2、Wordpress Security Scan插件会自动对你的WordPress进行扫描，查找存在的问题。 3、WordPress Database Backup并不是单纯的安全插件，但对于安全来说备份数据库也是很有必要。 4、AskApache Password Protect作用很强大，各种各样的密码保护，还有一些其他的用修改.htaccess文件来实现 的功能。 5、Stealth Login插件使用户可以通过这款插件自定义登录、登出、注册所用的URL。 6、AntiVirus for WordPress插件是一款保护博客不被采集和垃圾评论入侵的有效插件。 这款插件的用途包括： 检测可能存在的平台漏洞、病毒感染、恶意链接等。AntiVirus for WordPress还可以给你发送邮件通知和白名单。 好啦，如果这些你都做了还被黑了的话你直接可以去跳楼啦，人品太差啦！！！ 转载请注明出处：81mb–建站指导：WordPress优化之安全