保护 WordPress 安全的10个方法
防黑是互联网上永恒的话题,和防盗一样不可或缺。
之前精博有翻译过 WordPress 的三个安全措施, 对博客的安全有一定的帮助,但是,没有任何的措施是无懈可击的。为了更好地提升 WordPress 的安全系数,Smashing Magazine 折腾出了 10 个新的安全措施 ,这些措施主要是通过对 wp-admin 这个文件夹的加密来保障整个博客的安全——当然,原文作者也说了不能 100% 保证安全。
这 10 个措施通俗易懂,下面是简单的中文介绍——只介绍做法,不讲为什么这样做。
防黑措施一:重命名 wordpress 文件夹
您可以把 wordpress 文件夹重命名为 wordpress_live_Ts6K,然后再把 wordpress_live_Ts6K 文件夹上传到根目录下,结果在 WordPress 控制面板显示的 WordPress address(URL) 如下:
http://example.com/wordpress_live_Ts6K
防黑措施二:完善 wp-config.php 文件
1、点击登录 http://api.wordpress.org/secret-key/1.1/ ,然后把自动生成的代码复制下来并覆盖 wp-config.php 文件里面的对应内容;
2、把 $table_prefix = ‘wp_’; 的“wp_”改成别的,例如“ wp_xxx”;
3、如果您的服务器有 SSL 加密,添加以下代码到 wp-config.php 文件:
define(’FORCE_SSL_ADMIN’, true);
4、您也可以根据 WordPress Codex 对其他部分进行修改。
防黑措施三:移动 wp-config.php 文件
把 wp-config.php 文件移到 WordPress 所在目录的上一级目录。
防黑措施四:保护 wp-config.php 文件
如果您把 wp-config.php 移到 A 文件夹,那么就在 A 文件夹创建一个 .htaccess 文件并添加以下代码:
# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>
求教:
我在 Nakedlife.cn 上试过,结果是除了主页,其他所有的页面都不能访问,为什么呢?
防黑措施五:删除 admin 账户
首先,创建另外一个管理员帐号,比如 essentialblog;
接着,登出 WordPress;
然后,以新帐号 essentialblog 登入;
最后,删除 admin 帐号,在删除之前要注意选择把所有的文章和链接都分配到 essentialblog 帐号。
防黑措施六:设置强密码
在 WordPress 控制面板的个人资料(Profile)页面填一个能够显示“Strong”的密码。
防黑措施七:保护 wp-admin 文件夹
1、把 Htpasswd generator 生成的内容添加到 .htpasswd 文件;
2、把 htaccess-authentication 生成的内容添加到 .htaccess 文件。
求教:
作者说 wp-admin 文件夹里面有 .htpasswd 和 .htaccess 这两个文件,但是我没有发现,自行添加之后却无法登陆 WordPress 后台,为什么呢?
防黑措施八:在登录页面设置错误警告
在博客主题的 function.php 文件夹添加以下代码:
add_filter(‘login_errors’,create_function(‘$a’, "return null;"));
防黑措施九:限制错误登录的次数
通过 Login LockDown 插件或者 Limit Login Attempts 插件,设定允许登录资料填错的次数。
防黑措施十:保持软件的更新
1、保持您的 WordPress 版本是最新的;
2、保证您的 WordPress 插件是最新的;
3、插件能不用的就不用,多一个插件其实就多一个安全隐患。
请记得您修改了 wordpress 文件夹里面的哪些内容并备份,以便下次更新的时候用。
上面就是关于 10 个防黑措施的“所以然”,如果您想知道“之所以然”,请看原文 。
第四和第七这两个方法我没有试验成功,您如果知道答案,欢迎分享。