教你15招提高wordpress网站的安全性
1、不要再网络上随便下载汉化/破解的主题或插件
哪有那么多免费的“午餐“,你在“享受”便利的同时也在给自己带来麻烦,黑产从业者会把木马/后门植入主题/插件从而利用你的主机去DDoS别人的网站,或者获取你的数据
2、不要使用弱口令管理员密码,使用安全性更高的管理员帐号
什么112233、123456、admin、1314521类似的简直和没有密码一样。最起码要大小写字母加数字不少于8位;避免使用“admin”作为管理员账号。
3、尽量修改默认登录入口
wordPress默认登录地址为 /wp-admin 和 /wp-login.php,改成其他的目录降低密码被爆破的可能性。安装 WPS Hide Login 插件,可以禁止 /wp-admin 和 /wp-login.php 访问,并把登录入口修改成自定义URL。
4、限制访问文件和目录
如果文件和目录的访问权限不够安全,这些文件可能会被黑客访问并用于破坏你的网站。建议将 wp-config 文件的权限设为 600,其它文件的权限设为 644,目录的权限设为 755
5、关闭目录浏览
有的主机环境默认没有关闭目录浏览,这样会带来很多安全隐患
6、禁止执行 wp-includes 目录中的 PHP 脚本
wp-includes 目录可能包含不安全的 PHP 文件,这些文件可执行用于控制和利用您的网站
7、禁止执行 wp-content/uploads 目录中的 PHP 脚本
wp-content/uploads 目录可能包含不安全的 PHP 文件,这些文件可执行用于控制和利用您的网站
8、关闭XML-RPC
XML-RPC是WordPress向外暴露的调用,Pingback和Trackback功能依赖这组调用,但会被黑客程序拿来来做蛮力攻击或者DDos。安装Disable XML-RPC插件,可彻底关闭XML-RPC。普通网站Pingback和Trackback功能意义不大,所以关掉XML-RPC也没有关系,除非你确定它需要打开。
9、更改默认的数据库表前缀
在所有 WordPress 安装实例上的 WordPress 数据库表都具有相同的标准名称。当标准的 wp_ 前缀用于数据库表名时,整个 WordPress 数据库结构是透明的,使得恶意脚本很容易从其中获取任何数据。此安全措施会将数据库表名称前缀更改为与默认的 wp_ 前缀不同的内容
10、养成备份的好习惯
有备无患,备份可以让数据丢失/损坏后即使恢复,不受损失。
11、保持插件、模板、WordPress是最新的
其实还有很多方面,在这里就不一一列举,上面这些做好就足够应对大多数的场景了
12、用靠谱主机
永远不用“免费”主机,这种服务商自己就是半个黑客。
用具备安全措施的主机,没钱就用基本款,对普通网站也够,如国外的 Fastcomet,SiteGround,有钱的大户就用全托主机如国外的WPEngine。
13、过滤垃圾评论
多数垃圾评论的目的并非打广告这么简单,而是把评论内容写得像广告,实际嵌入了恶意代码进行XSS攻击,这样的评论如果流入正常用户的浏览器,就有可能带来危害,如果是权限较高的用户,网站就可能被渗透。装好WordPress立即打开Akismet插件。审核用户评论,在设置->讨论中可以配置。
14、强制用户使用https协议
后台登录输入的用户名密码不应明文传输,配置web服务器,打开SSL证书。
15、关闭文件编辑
WordPress默认允许管理员帐号修改主题或插件源文件,一旦管理员帐号被渗透,理论上黑客可以通过这个功能修改这些文件,执行任何他想执行的代码,比如注入木马,留后门。彻底关闭这个功能,通过在wp-config.php中加入:
define('DISALLOW_FILE_EDIT', true);
总结
WordPress安全最重要的事,一是保持自动更新,二是使用安全插件定期扫描,三是备份。做到这三点,基本可保网站不被渗透。剩下的措施可以根据网站情况决定是否配置。
1.如果服务器暂不能下载请稍后重试!总是不能下载,请联系客服,谢谢合作!
2.本站所有资源(包括写真、模板、素材、软件、字体等)仅供学习与参考,请勿用于商业用途。
3.本站所有素材来源于用户上传和网络,如有侵权请请联系客服处理!
4.本站资源售价只是赞助,收取费用仅维持本站的日常运营所需。
博创云素材 » 教你15招提高wordpress网站的安全性
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 提示下载完但解压或打开不了?
- 最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或 联络我们。