WordPress 三个必须的安全措施

1 确保/wp-admin/文件夹的安全

您或许已经知道,WordPress的很多重要信息都放在/wp-admin/文件夹里面。WordPress允许这个文件夹公开,因此,别人如果掌握这个文件夹里的文件,他或她就可以访问这些文件。

Matt建议在/wp-admin/文件夹里面建立一个.htaccess文件,从而阻止除了您自己以外的所有IP的访问。</p>

以下是.htaccess中需要包括的代码:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx(填写您自己的IP——精博注)
allow from xx.xx.xxx.xx(填写您自己的IP——精博注)
</LIMIT>

2 隐藏您的插件

许多WordPress插件都存在缺陷和漏洞,这些缺陷和漏洞如果给人利用,就会破坏您的网站,所以,您最不想发生的就是被别人知道您装了什么插件。

如果您访问大多数博客的/wp-content/plugins/文件夹,您将可以看到这些博客使用的所有插件。为了隐藏您的插件,您只需要在/wp-content/plugins/文件夹里建立一个index.html的空白文件。

3 坚持安装补丁和更新

许多博客或许都已经这样做了。保持WordPress的更新就会相安无事。Matt建议我们订阅WordPress开发博客

最后的附加措施是,去掉网页标头(header)的WordPress版本的元标识(Meta tag)。

您还知道WordPress需要哪些安全措施吗?

更新:冲浪的时候,我发现一个叫做Login LockDown的WordPress插件,这个插件主要的功能是跟踪网站登录次数。如果同一个IP地址在短时间内的登录次数太频繁,这个插件就会禁止那个IP的登录。这对避免密码被强行破解很有用。

精博寄语:

1 原文:3 Must Apply Security Tips for WordPress

2 原文作者:每日博客技巧的Daniel。

3 关于第一点,Matt是这样写的:

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName “Access Control”

AuthType Basic

<LIMIT GET>

order deny,allow

deny from all

# whitelist home IP address

allow from 64.233.169.99

# whitelist work IP address

allow from 69.147.114.210

allow from 199.239.136.200

# IP while in Kentucky; delete when back

allow from 128.163.2.27

</LIMIT>

4 关于附加措施,Matt原文是说把下面代码删掉:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

或者至少删掉<?php bloginfo(’version’); ?>。

5 可见,每日博客技巧的转载也有一套。

6 如果您经常在不同的地方使用WordPress,IP有好几个,那么,第一点应用起来就有点麻烦。

发布在博客技术 已有标签 . 将该链接存入书签。 评论和互链已关闭。
  • :: 《100 个免费翻墙工具》免费电子书

    100 个免费翻墙工具

12 条评论

  1. ranyn
    发表于2008年01月21日 5:54 下午 | 永久链接

    非常重要的东西

  2. moon
    发表于2008年01月22日 9:26 下午 | 永久链接

    很有价值的文章,之前这些都没有注意

  3. 限时恋爱
    发表于2008年04月13日 6:22 下午 | 永久链接

    Young师傅,第一条中,限制IP,也就是说除了我的IP能登录上,其他的IP都登录不上?那如果我在别的地方想登录怎么办?谢谢!

  4. Young
    发表于2008年04月13日 10:18 下午 | 永久链接

    @限时恋爱,您可以进入空间,找到.htaccess文件,然后增加新的IP,或者把.htaccess文件删掉。

  5. Mr. Chen
    发表于2008年05月26日 12:49 上午 | 永久链接

    第一条这个不知道是否能用动态域名那样来实现?

  6. Young
    发表于2008年05月26日 8:31 下午 | 永久链接

    @Mr.Chen,据我所知,“动态域名服务的功能,就是实现固定域名到动态IP地址之间的解析”,目的是让别人更好地找到您的网站,和安全措施无关。

  7. Mr. Chen
    发表于2008年05月27日 12:29 上午 | 永久链接

    我说的动态域名解析是能否像反弹木马那样的原理,不知道能否那样才实现!不知Young了解我在说什么吗?

  8. Young
    发表于2008年05月27日 1:30 上午 | 永久链接

    @Mr.Chen, Young还真的不知道什么是反弹木马原理,爱莫能助。

  9. 发表于2008年07月13日 6:24 下午 | 永久链接

    这篇文章很不错!马上去弄。。。

  10. Robin
    发表于2008年09月19日 9:23 上午 | 永久链接

    3 坚持安装补丁和更新
    感觉wp更新太快了,好麻烦的。

  11. worknc
    发表于2009年08月20日 12:30 上午 | 永久链接

    插件装得越多,越麻烦,越不安全

  12. 发表于2009年08月26日 1:36 下午 | 永久链接

    第一条很是痛苦,虽然我几乎固定式公司后台操作。不过这应该锁定什么ip?公司每次出口的ip都一样么?
    关于锁定登录的,还有一个插件,Limit Login Attempts

2 条互链

  • 由月光博客的网摘 » Blog Archive » links for 2008-01-21发表于2008年01月22日 5:17 上午

    […] WordPress 三个必须的安全措施 保证WordPress安全的三个措施:确保/wp-admin/文件夹的安全,隐藏您的插件,坚持安装补丁和更新。 (tags: blog tips) Explore posts in the same categories: 网摘 […]

  • 由如何确保您的WordPress安全 at Wopus中文平台发表于2008年08月13日 3:29 上午

    […] 接着,您也应该通过只允许特定IP访问的方式来保护您的WP-Admin文件夹。您可以在WP-Admin文件夹里创建一个.htaccess文件(一个简单的文本文件),文件上的代码请参考WordPress 三个必须的安全措施。 […]