作为全球使用最多的CMS网站系统,Wordpress的安全性也是值得大家关注的,虽然经历过这么多年的发展完善更新,但是还是有不少的漏洞在被所谓的专业人士研究,因为一旦被研究出来会显得他们的技术很厉害。这也是为什么WP官方 会非常勤快的更新程序。这篇文章是老董经过这几年使用WORDPRESS程序过程中,整理的比较好的10个技巧,可以确保在一定程度上我们的WP程序类的网站是安全的。
第一、及时更新升级
WordPress官方会定期根据程序的完善信息以及安全问题升级最新的程序,默认的情况下在我们登陆网站后台看到有更新提示,我们只需要根据向导就升级最新版本就可以。这里需要有一个问题注意的,有些用户直接屏蔽的更新提醒,这个需要我们及时更新的,需要在第一时间更新,因为有很多人都是专门的在扫WP的漏洞。
第二、没有激活的主题和插件
如果有不用的主题和插件,最好删除掉。因为很多时候插件和主题也是有漏洞的,而且如果插件和主题有升级更新也需要跟程序一样及时的升级。尤其是那些商业主题,有很多的安全问题,所以我们在建站使用到的主题和插件最好是在平台下载的,或者是购买比较信誉好的,免费版本和破解版的最好不要使用。
?第三、禁用主题/插件编辑器
如果有黑客测试出我们账户的用户名和密码,然后会在主题或者插件中添加后门代码,那我们的网站就存在的安全隐患。于是我们可以采用禁止主题和插件编辑器,这样即便知道我们的后台,也无法在插件和主题中修改。当然,如果我们自己需要使用可以用FTP登陆主机然后管理或者临时取消禁止。
define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );
只需要在WP-CONFIG.PHP文件中加入这两行代码。
第四、保护网站的.HTACCESS文件
比如,在老董优惠码网站的HTACCESS伪静态文件中,我们可以通过脚本来限制对于这个文件的修改,因为这个文件很多时候也被作为黑客利用的页面工具。把下面的文件添加进去,从HTACCESS文件中禁止用户使用特别的字符。
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>
第五、禁用目录列表
我们需要在HTACCESS文件中加上Options -Indexes代码,禁止直接打开目录列表,有些时候是由于空间问题,我们可以打开一个文件夹的目录展示。这样会让黑客有看到我们目录下的文件名。
第六、保护WP-CONFIG.PHP文件
因为一个网站的设置参考,包括数据库的入口都在WP-CONFIG页面中,我们需要保护这个页面的权限不让下载和利用。就需要我们在HTACCESS文件中添加下面的脚本。
<files wp-config.php>
order allow,deny
deny from all
</files>
第七,保护wp-login.php文件
wp-login.php页面就非常重要了,尤其是很多人利用工具自动扫描和攻击我们的登陆入口,测试密码。我们需要吧wp-login.php文件隐藏起来或者是禁止其他IP的访问,只能允许我们自己的IP访问。
<files wp-login.php>
order deny,allow
deny from all# static IP
allow from xxx.xxx.xxx.xxx# dynamic IP
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8
</files>
我们可以设置让自己的IP可以访问,或者说让一个IP段访问,其他是不可以访问的。
第八、保护wp-admin文件目录
同样的与WP-LOGIN文件一样,wp-admin目录页是会被猜测密码的。于是我们也可以类似上述的方法屏蔽wp-admin文件访问权限。
<LIMIT GET>
order deny,allow
deny from all# static IP
allow from xxx.xxx.xxx.xxx# dynamic IP
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8</LIMIT>
第九、拒绝可执行的文件
我们可以拒绝类似EXE之类的可执行文件,也是在HTACCESS文件中设置。
# deny all .exe files
<files "*.exe">
order deny,allow
deny from all
</files>
最后,用插件防护
有些插件可以防护用户登录的,尤其是恶意连续的测试登陆。比如Acunetix WP Security,Login LockDown,AskApache Password Protect可以尝试使用。但是插件少用为好。
总之,网站的安全最为重要,任何优质的网站内容都是基于安全的网站程序框架下进行的。