教你9个提升WordPress网站安全性的方法

1.使用你的 Email 作为登入帐号

当你安装完一个 WordPress 网站时,预设的第一位用户为 “admin”。你应该建立不同的使用者名称来管理你的 WordPress 网站,并将预设使用者 “admin” 删除,或是将它的权限从「系统管理员」降级为「读者」。

你也可以建立一个完全乱数(难以被猜中)的使用者名称,然后使用你的 Email 来登入 WordPress。外挂 WP-Email Login 可以加入此支持,使用你的 Email 取代帐号登入。

2.不要向全世界展示你的 WordPress 版本

WordPress 网站会在原始码显示版本号,让其他人能够知道你正在执行旧的 WordPress

要从网页里移除 WordPress 版本是狠简单的一件事,但你需要做一些额外的补强,从你的 WordPress 目录将 readme.html 档案删除,因为它也会把你所使用的 WordPress 版本展示给全世界。

3.别让其他人拥有写入 WordPress 目录的权限

登入你的 WordPress 网站 Linux 系统列,执行以下指令来取得所有「公开」、其他用户皆能写入的目录清单。

1

find . -type d -perm -o=w

你也许可以执行以下两行指令,来将你 WordPress 内的档案和目录设定为正确的权限(参考资料)。

1

2

find /your/wordpress/folder/ -type d -exec chmod 755 {} \;

find /your/wordpress/folder/ -type f -exec chmod 644 {} \;

对目录来说,755(rwxr-xr-x) 意味着只有拥有者具备写入权限,其他人只有读取和执行的权限。对档案来说,644 (rw-r–r–) 意味着只有档案拥有者具备读取和写入权限,其他人为唯读。

4.重新命名你的 WordPress 资料表前缀

如果你使用预设选项来安装 WordPress 的话,你的 WordPress 资料表应该会像是 wp_posts wp_users。将资料表的前缀(wp_)更改为其他随机值是比较好的作法,外挂2Change DBPrefix2可以让你在弹指之间重新命名你的资料表前缀。

5.防止使用者浏览你的 WordPress 目录结构

这狠重要。开启你 WordPress 根目录底下的 .htaccess 档案,然后在最上方加入这行。

1

Options -Indexes

这能够防止其他人在能建立档案清单时看到你资料夹内的所有档案。例如目录下缺少预设的 index.php index.html 时。

6.更新 WordPress 安全密钥

开启此网页来为你的 WordPress 网站产生八组安全密钥。开启 WordPress 目录下的 wp-config.php 档案,将预设的密钥以产生的密钥取而代之。

这些随机的字符串能使你储存于 WordPress 的密码更加安全,另一个好处是,当有人在你不知情的情抗下登入 WordPress,他们将会被立即注销,使他们的 cookies 失效。

7.保留 WordPress PHP 和资料库错误记录

从错误记录有时候可以发现针对你 WordPress 所发出的无效资料库查询或档案查询。我更喜欢外挂 Error Log Monitor,因为它能定期透过 Email 发送错误日志到你的信箱,也能显示于你的 WordPress 控制台。

要在 WordPress 启用错误日志功能,将以下程序码加入你的 wp-config.php 档案,记得要把2/path/to/error.log 替换为你的日志文件实际路径。error.log 应该放在无法直接从浏览器存取得到的目录。(参考资料)

1

2

3

4

5

6

7

define('WP_DEBUG', true);

if (WP_DEBUG) {

define('WP_DEBUG_DISPLAY', false);

@ini_set('log_errors', 'On');

@ini_set('display_errors', 'Off');

@ini_set('error_log', '/path/to/error.log');

}

8.以密码保护 Admin 控制台

使用密码来保护 wp-admin 目录是一个不错的方法,因为浏览你的公开 WordPress 网站并不需要用到这目录下的任何档案。一旦设定完成,即使是授权的用户也需要输入两道密码才能登入他们的 WordPress 控制台。

9.追踪你的 WordPress 服务器登入动态

你可以在 Linux 下使用 “last -i” 指令来列出所有登入你 WordPress 服务器的使用者,包括他们的 IP 地址。如果你发现清单内有未知的 IP 来源,那肯定要修改密码了。

此外,下面的指令将显示较长时间区间的登入动态,并使用 IP 地址分组(将 USERNAME 改为你的使用者名称)。

1

last -if /var/log/wtmp.1 | grep USERNAME | awk 1{print $3}1 | sort | uniq -c

使用外挂来监控你的 WordPress 网站

WordPress.org 外挂库包含不少好用的安全相关外挂,可以持续监控你的 WordPress 网站是否有被入侵,或是其他可疑活动。这些是我会建议使用,也较为基本的安全外挂。

Exploit Scanner– 它会迅速扫描你的所有 WordPress 档案和文章,并列出潜藏恶意程序码的。例如垃圾链结可能会使用 CSS IFRAME 方式隐藏在你的 WordPress 网志文章里,而这个外挂可以将它们找出来。

WordFenceSecurity – 这是一个非常强大、且应该使用的安全外挂。它会比对你 WordPress 的核心档案和原始档案间是否已被修改。而且,该外挂会锁定尝试登入你的网站却失败的使用者。

WordPressSentinel – 另一个实用的外挂,可以监控你的 WordPress 档案,当有任何档案被加入、删除或修改时会发出警告。

WP Notifier – 如果你不常登入你的 WordPress 控制台,那这外挂适合你。它会在你安装的背景主题、外挂和 WordPress 核心有新的更新时以 Email 通知你。

VIP Scanner – “官方安全外挂将扫描你的 WordPress 背景主题有无任何问题,它也能检测出有无任何的广告程序码被注入你的 WordPress 背景主题里。

小技巧:你也可以使用以下 Linux 指令来列出近三天被修改的档案清单。将 mtime 改为 mmin 可以看到 “n” 分钟前被修改的档案清单。

find . -type f-mtime -3 | grep -v "/Maildir/" | grep -v "/logs/"

提高 WordPress 登入页面安全性

你的 WordPress 登入页面是每个人都可以存取的,但如果你想防止未授权的使用者登入 WordPress,你有以下三种选择。

使用 .htaccess 加入密码保护 WordPress 认证以外加入另一道账号密码来保护你的 wp-admin 目录。

GoogleAuthenticator – 这出色的外挂能为你的 WordPress 加入两步骤验证功能。除了输入正确的密码外,还必须搭配手机应用程序来输入随机产生的验证码。

Login Dongle – 这个外挂使用一个非常独特的方法来保护你的 WordPress。它能产生一个书签列(加上秘密问题),你可以将它加入浏览器。当你要登入 WordPress 时,输入你的密码并按下书签列才能登入 WordPress – 登入页面的按钮将无法使用。

转载自:http://www.sailingnet.net/sailingnet/4355

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值