保护 WordPress 安全的10个方法

防黑是互联网上永恒的话题,和防盗一样不可或缺。

 

之前精博有翻译过 WordPress 的三个安全措施, 对博客的安全有一定的帮助,但是,没有任何的措施是无懈可击的。为了更好地提升 WordPress 的安全系数,Smashing Magazine 折腾出了 10 个新的安全措施 ,这些措施主要是通过对 wp-admin 这个文件夹的加密来保障整个博客的安全——当然,原文作者也说了不能 100% 保证安全。

 

这 10 个措施通俗易懂,下面是简单的中文介绍——只介绍做法,不讲为什么这样做。

 

 

防黑措施一:重命名 wordpress 文件夹

 

您可以把 wordpress 文件夹重命名为 wordpress_live_Ts6K,然后再把 wordpress_live_Ts6K 文件夹上传到根目录下,结果在 WordPress 控制面板显示的 WordPress address(URL) 如下:

http://example.com/wordpress_live_Ts6K

防黑措施二:完善 wp-config.php 文件

 

1、点击登录 http://api.wordpress.org/secret-key/1.1/ ,然后把自动生成的代码复制下来并覆盖 wp-config.php 文件里面的对应内容;

2、把 $table_prefix = ‘wp_’; 的“wp_”改成别的,例如“ wp_xxx”;

3、如果您的服务器有 SSL 加密,添加以下代码到 wp-config.php 文件:

define(’FORCE_SSL_ADMIN’, true);

4、您也可以根据 WordPress Codex 对其他部分进行修改。

 

防黑措施三:移动 wp-config.php 文件

 

把 wp-config.php 文件移到 WordPress 所在目录的上一级目录。

 

防黑措施四:保护 wp-config.php 文件

 

如果您把 wp-config.php 移到 A 文件夹,那么就在 A 文件夹创建一个 .htaccess 文件并添加以下代码:

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

求教:

我在 Nakedlife.cn 上试过,结果是除了主页,其他所有的页面都不能访问,为什么呢?

 

防黑措施五:删除 admin 账户

 

首先,创建另外一个管理员帐号,比如 essentialblog;

接着,登出 WordPress;

然后,以新帐号 essentialblog 登入;

最后,删除 admin 帐号,在删除之前要注意选择把所有的文章和链接都分配到 essentialblog 帐号。

 

防黑措施六:设置强密码

 

在 WordPress 控制面板的个人资料(Profile)页面填一个能够显示“Strong”的密码。

 

防黑措施七:保护 wp-admin 文件夹

 

1、把 Htpasswd generator 生成的内容添加到 .htpasswd 文件;

2、把 htaccess-authentication 生成的内容添加到 .htaccess 文件。

求教:

作者说 wp-admin 文件夹里面有 .htpasswd 和 .htaccess 这两个文件,但是我没有发现,自行添加之后却无法登陆 WordPress 后台,为什么呢?

 

防黑措施八:在登录页面设置错误警告

 

在博客主题的 function.php 文件夹添加以下代码:

add_filter(‘login_errors’,create_function(‘$a’, "return null;"));

防黑措施九:限制错误登录的次数

 

通过 Login LockDown 插件或者 Limit Login Attempts 插件,设定允许登录资料填错的次数。

 

防黑措施十:保持软件的更新

 

1、保持您的 WordPress 版本是最新的;

2、保证您的 WordPress 插件是最新的;

3、插件能不用的就不用,多一个插件其实就多一个安全隐患。

请记得您修改了 wordpress 文件夹里面的哪些内容并备份,以便下次更新的时候用。

上面就是关于 10 个防黑措施的“所以然”,如果您想知道“之所以然”,请看原文

第四和第七这两个方法我没有试验成功,您如果知道答案,欢迎分享。

你可能感兴趣的:(PHP,互联网,wordpress)