對于WordPress部落格的資料,有這麼一句話:不是WordPress部落格資料不重要,是沒嘗過丢失的滋味。
有些朋友可能有這種經曆:通路一個站的時候,會出現提示:This site may harm your computer(這個網站可能會傷害你的電腦),而且是紅色背景,這種被判定為不允許通路的站點,一般都是被******過的。
這篇文章的主要目的是提醒大家,把日常一些不注意的,容易疏忽的可以引起WordPress安全隐患的給提出來,希望各位能檢查一下自己的部落格,畢竟,誰都不希望出現“XXX”門。
一,保證WordPress資料庫安全
有些朋友需要把資料庫合用,幾個程式使用一個資料庫,這種習慣是不好的,首先會造成單一資料庫很臃腫,其次是備份起來也很麻煩,最後是如果有問題,都可能挂掉。在建立WordPress資料庫的過程中,要遵循一下原則:
- 使用獨立的資料庫。
- 給資料庫使用者設定合理的通路權限。使用國外Cpanel類WordPress主機的朋友都清楚,在把資料庫使用者添加到資料庫的時候,有一個權限選擇的頁面,在以前,可能大家都是全選,但現在,需要告訴各位的是,最好隻勾選一下權限:選擇,生成,插入,更改,更新,丢棄,删除。在操作的時候,可以參考Wopus提供的資料庫權限設定圖:
- 給資料庫設定一個強悍的密碼。最高的境界是,自己不記得密碼是多少,而且Cpanel類WordPress空間會生成很複雜的密碼,也會檢測并報告密碼的強壯度。
二,加強wp-config.php檔案
每隔一段時間,最好檢查一下自己的wp-config.php檔案,而且不要隻檢查資料庫配置那塊,wp-config.php裡的每行代碼都值得觀看。
從WordPress 2.6開始,為了能保證Cookies的安全性,WordPress開始在wp-config.php裡加入 WordPress secret key,并且提供了官方生成工具:WordPress secret key generation tool。
除此之外,在安裝WordPress的時候,也記得修改一下WordPress資料庫的字首,替換到預設的wp_,至于修改成啥樣的,那就是越難記住越好,但不要有太多的字元。
三,不用使用預設的WordPress帳戶。
安裝WordPress成功之後,生成的預設的使用者名是 admin,登陸到背景之後,第一件事情不是去修改密碼,而是從建立一個管理者,然後把admin帳戶删除。可以直接在WordPress背景完成,建立管理者帳戶的時候,密碼設定可以強悍一些。
除此之外,定期修改管理者帳戶的密碼也是一個好的習慣,現在的浏覽器,以Firefox和Chrome為主,不但惡意記住密碼,還能顯示密碼,是以各位如果電腦經常暴露在人群中,儲存密碼就要多留一個心眼了。
四,及時更新WordPress到最新版
某位頂級***在談到如果做好電腦安全的時候,就一句話:有安全更新檔就及時更新。這句話對WordPress同樣使用,從WordPress 2.5開始,WordPress的更新速度逐漸越來越快,但有一些都是被動更新的,因為有安全漏洞,不管如何,及時更新WordPress到最新版本。目前WordPress官方最新版本是 2.8.5。至于如何第一時間獲得WordPress最新的消息,多多關注Wopus就就可以了。
五,經常備份WordPress程式及資料庫
俗話說的好,有備無患。Wopus這裡主要給備份的原則:WordPress程式修改了就備份,不修改不用備份;資料庫可以根據的頻率備份,每周備份一次是一個不錯的選擇,當然如果資料量特别大,每天或者每兩天備份一次都可以。
WordPress備份的方法是多種多樣,這裡有幾篇Wopus曾經釋出過的關于資料備份的文章。
如何進行Wordpress的日常備份:http://www./wordpress-deepin/tech/40.html
WordPress完美備份資料方法及教程:http://www./wordpress-deepin/tech/1009.html
Mysql較大資料庫的備份與導入:http://www./wordpress-deepin/tech/1035.html
用Cronjob定時備份資料庫并發送至郵箱: http://www./wordpress-deepin/tech/1151.html
六,保證任何一個目錄都無法被通路
目前絕大多數的WordPress專業主機都能做到這一點,不多介紹,但是請注意,保證根目錄下在的index.php檔案的安全非常必要。
七,特别保護wp-admin目錄
保護的方法可以通過在.htaccess裡修改來完成,16個簡單實用的.htaccess技巧(http://www./wordpress-deepin/tech/1271.html)
八,保護wp-content檔案夾裡的檔案
WordPress的PHP檔案是無法通過http通路的,是以,這裡我們需要注意的是圖檔,附件,CSS和JS代碼。保護的方法還是修改.htaccess。代碼如下: Order Allow,Deny
Deny from all
Allow from all
九,隐藏WordPress的版本号
這已經不知道是Wopus第幾次提到這個問題了。這又是一篇新的文章,再說明一下原因,WordPress因為知名度越來越大,會被越來越多人關注,當然會有一些很厲害的人,他們也許讀到了在WordPress的某個版本中還隐藏着安全隐患。這就是WordPress的漏洞,根據漏洞可以獲得一些額外的東西,最嚴重的就是被***,資料全部丢失。
至于隐藏WordPress的版本号,一是希望各位不要在Footer的地方加上WordPress的版本代碼,顯示出來不好,第二,需要檢查一下header.php檔案,如果看到了有這行代碼
< ?php bloginfo(’version’); ?>
,記得去掉。
或者在主題檔案function.php裡加上:
< ?php remove_action('wp_head', 'wp_generator'); ?>
如果您有其他關于增強WordPress安全性的建議,歡迎投稿給我們:http://www./tougao。您也可以留言發表對WordPress安全性的看法。
轉載于:https://blog.51cto.com/veckie9/808397