• 主页
  • 文章
  • 一般的
  • WordPress 安全最佳实践 – TODO 列表 – 如何保护您的 WordPress 博客?

WordPress 安全最佳实践 – TODO 列表 – 如何保护您的 WordPress 博客?

已发表: 2015-05-25

认真对待 WordPress 安全性

WordPress 是自托管博客和网站最受欢迎的平台之一。 虽然 WordPress 开箱即用非常安全,但总会有人想通过找到一种方法来破解帐户或网站以造成损害或注入隐藏的垃圾邮件链接来制造麻烦。 这就是为什么确保您的 WordPress 安装尽可能安全很重要的原因。 WordPress 安全提示。

TechCrunch 是世界上最大的博客,在短短八小时的时间内(2012 年)被黑客入侵两次。 根据 WordPress 的首席程序员 Mark Jaquith 的说法,黑客很可能是因为一个不安全的 WordPress 插件,它允许黑客使用 php 注入的方法来破解技术危机。 这不是服务器端黑客攻击。 我希望这些详细信息能帮助您保护您的 WordPress 博客。

对以下问题有以下疑问?

  • wordpress 安全插件评论
  • wordpress 安全漏洞
  • wordpress 安全最佳实践
  • wordpress 安全问题
  • wordpress 安全提示
  • 最好的 wordpress 安全插件
  • wordpress 安全扫描
  • wordpress 安全检查

那么你来对地方了。 Crunchify 的安全插件评论。

以下是一些让您的 WordPress 网站或博客更安全且不易受到恶意攻击的提示。 这些步骤通过阻止坏人来帮助我们保护我们的博客。

1) 升级到最新版本的 WordPress

没有任何软件系统可以免受错误和漏洞的影响。 安全漏洞会被发现,坏人会尽力利用它们。 使您的软件保持最新是避免攻击的好方法,因为一旦发现安全漏洞,可靠的软件供应商就会修复他们的产品。

幸运的是,让您的 WordPress 网站保持最新是您可以做的最简单的事情之一。 在最近的几个版本中,WordPress 包含了安装自动更新的功能。 不仅如此,每次有新的升级可用时,网站都会收到通知。

如果您运行的不是最新版本的 WordPress,请立即升级。 将您的网站保留在旧版本上就像您外出度假时保持门上锁一样。

WordPress 更新

2) 放置空白 index.php 文件

如果您认为仅设置目录权限就足够了,那么我会说这不是那么简单的伙伴! 我建议应该在wp-content/themes/ & wp-content/plugins/文件夹中删除一个空的 html 或 php 文件( ensure that the name should be index.php )。 这样,每当有人试图查看这些文件夹的内容时,他们将看到一个空白页面,而没有其他任何内容。 这不是一个聪明的举动吗?

文件内容:

index.php
1
2
3
<?php
// Silence is golden.
?>

将空白 index.php 文件放在每个文件夹中

3) 在您的 WP-Config 文件中使用密钥

在 WordPress 中, wp-config.php文件是存储 WordPress 连接其电路所需的数据库信息的文件,可以这么说。 此文件包含存储所有用户信息、博客文章和其他重要内容的 MySQL 数据库的名称、地址和密码。

使用密钥,您可以使某人更难访问您的帐户。

如果您尚未设置密钥,请转到 https://api.wordpress.org/secret-key/1.1/ 并将copy the results into this section of your wp-config.php

4)检查您的 .htaccess 文件

使用.htaccess文件,您可以设置对某些目录的访问限制。 您可以将这些限制绑定到特定的 IP 地址,这意味着只有来自该位置的人才能访问您的信息。

始终建议在选择您的网络主机时,您应该向他们确认他们使用的是哪个版本的 MySQL、Apache 和 PHP。”

样本:

Sample deny,allow in .htaccess
1
2
3
4
5
6
7
8
order deny , allow
deny from 32.177.15. *
deny from 53.177.14. *
deny from 64.255.113. *
deny from 11.255.114. *
deny from 115.225.176.86
deny from 535.255.117.250
allow from all

5) 使用强大的 WordPress 帐户密码

除了在wp-config.php文件中添加密钥之外,还可以考虑将用户密码更改为强大且唯一的密码。 WordPress 会告诉您密码的强度,但一个好的提示是避免使用常用短语,使用大写和小写字母,并包含数字。 定期更改密码也是一个好主意——比如每两个月一次。

6) 更新服务器环境和插件

插件和主题在发布后立即更新是您的责任之一。 我建议定期更新您的插件。 看看我一段时间前发表的 CSRF 文章。

关于服务器环境,它不是在你的手中,而是在虚拟主机的手中。 始终建议在选择您的网络主机时,您应该向他们确认他们使用的是哪个版本的 MySQL、Apache 和 PHP。 将其与各自网站上提到的最新版本相匹配,如果它们已过时,您应该要求他们更新它们(非常不可能)或尽快更改网络主机。

7) 切勿使用“admin”作为您的用户名

安装 WordPress 后,您应该更改管理员用户名。

8) 更改数据库表的WP prefix

它将使您免于 sql 注入黑客攻击。

9)不要在根目录下安装WordPress

将其安装在某个文件夹中,该文件夹的名称很奇怪,不容易知道。 类似442testXYZ的东西。 这将从机器人和黑客中拯救您的 WordPress 安装。

10) 阻止坏机器人

您永远不知道您的网站何时被不良机器人抓取。 解决方法很简单。 尝试将以下内容放入您的.htaccess文件中以阻止不良机器人。

.htaccess
1
2
3
RewriteEngine On
RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ]
RewriteRule . * - [ F , L ]

概括

我们都同意,拥有一个安全的 WordPress 博客应该是我们保持成功博客的首要任务。 WordPress 是一个很棒的发布软件,Automattic(WordPress 背后的公司)总是努力保护它,以便数百万博客可以免受黑客威胁。

有很多方法可以提高 WordPress 的安全性。 这些变化很小,其中许多建议可以在几分钟内实施。 您可以放心地了解您的 WordPress 网站,使其免受入侵者和黑客的攻击。