WordPress 三个必须的安全措施

想要一个既简单又稳定而且还便宜的云服务器吗?那就选择 DigitalOcean 吧,仅需 5 块钱一个月,现在注册还可以马上获赠 10 美元。

1 确保/wp-admin/文件夹的安全

您或许已经知道,WordPress的很多重要信息都放在/wp-admin/文件夹里面。WordPress允许这个文件夹公开,因此,别人如果掌握这个文件夹里的文件,他或她就可以访问这些文件。

Matt建议在/wp-admin/文件夹里面建立一个.htaccess文件,从而阻止除了您自己以外的所有IP的访问。</p>

以下是.htaccess中需要包括的代码:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx(填写您自己的IP——精博注)
allow from xx.xx.xxx.xx(填写您自己的IP——精博注)
</LIMIT>

2 隐藏您的插件

许多WordPress插件都存在缺陷和漏洞,这些缺陷和漏洞如果给人利用,就会破坏您的网站,所以,您最不想发生的就是被别人知道您装了什么插件。

如果您访问大多数博客的/wp-content/plugins/文件夹,您将可以看到这些博客使用的所有插件。为了隐藏您的插件,您只需要在/wp-content/plugins/文件夹里建立一个index.html的空白文件。

3 坚持安装补丁和更新

许多博客或许都已经这样做了。保持WordPress的更新就会相安无事。Matt建议我们订阅WordPress开发博客

最后的附加措施是,去掉网页标头(header)的WordPress版本的元标识(Meta tag)。

您还知道WordPress需要哪些安全措施吗?

更新:冲浪的时候,我发现一个叫做Login LockDown的WordPress插件,这个插件主要的功能是跟踪网站登录次数。如果同一个IP地址在短时间内的登录次数太频繁,这个插件就会禁止那个IP的登录。这对避免密码被强行破解很有用。

精博寄语:

1 原文:3 Must Apply Security Tips for WordPress

2 原文作者:每日博客技巧的Daniel。

3 关于第一点,Matt是这样写的:

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName “Access Control”

AuthType Basic

<LIMIT GET>

order deny,allow

deny from all

# whitelist home IP address

allow from 64.233.169.99

# whitelist work IP address

allow from 69.147.114.210

allow from 199.239.136.200

# IP while in Kentucky; delete when back

allow from 128.163.2.27

</LIMIT>

4 关于附加措施,Matt原文是说把下面代码删掉:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

或者至少删掉<?php bloginfo(’version’); ?>。

5 可见,每日博客技巧的转载也有一套。

6 如果您经常在不同的地方使用WordPress,IP有好几个,那么,第一点应用起来就有点麻烦。

喜欢就分享!
发布在博客技术 已有标签 . 将该链接存入书签
  • :: 《100 个免费翻墙工具》免费电子书

    100 个免费翻墙工具