WordPress很多人都知道建站很方便功能也很强大,博客广泛流行使用。
但是很多人建站的时候根本不在乎其安全性认为尽然这么多人用了肯定很安全,
要知道在互联网上没有绝对安全的。如何防止黑客入侵WordPress呢?虽然我们没有黑客那般的头脑但是我们现有用管理员的权限可以加强我们的网站安全性我们可以这样做。
.htaccess文件有很多用途,但它最主要的功能,是防止黑客入侵。
1,指定IP登录WordPress后台
.htaccess是放在网站根目录下的如果没有去创建一个,htaccess文件里加入下面的代码可以达到这个效果:
[code]AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
#IP address to Whitelist
allow from 指定IP[/code]
2,禁用目录浏览
有些网站服务器设置本身不安全可以浏览网页目录,即你可以通过http://yoursite.com/wp-plugins/这样的链接看到自己的插件内容。
你们要知道有些插件本身就存在安全漏洞这样就为一些黑客开启了大门了如果不用就禁掉要么及时更新,
要禁用目录浏览,只需要在。htaccess文件里加上下面的代码:
[code]Options All -Indexes[/code]
3,保护.htaccess
将文件属性设置为CHMOD 644就是只读的意思。登录FTP右键.htaccess将文件属性设置为只读
或者在最下边追加以下代码:
[code]<Files wp-config.php>
Order Deny,Allow
Deny from All
</Files>[/code]
4,移动wp-config.php文件
从WordPress 2.6开始,如果用户将wp-config.php移动到上级目录WordPress在同级目录下搜索找不到wp-config.php
就自动往上级搜索。例如我的网站存在/wwwroot目录下我可以把wp-config.php文件移动wwwroot目录的上级。
5,更改WordPress表前缀
在建站安装创可以简单的修改表前缀即使wp_,但是建站之后修改不是这么容易了,我们可以利用插件WP Security Scan修改,网上还有可以不利用插件修改的方法,修改表前缀不利用插件的方法点击以下进入看教程:
https://sdeno.com/修改wordpress表前缀wp_/
6,自定义安全密钥
[code]打开wp-config.php我们可以看到如下其中信息:
/**#@+
* 身份认证密匙设定。
*
* 您可以随意写一些字符
* 或者直接访问 {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org 私钥生成服务},
* 任何修改都会导致 cookie 失效,所有用户必须重新登录。
*
* @since 2.6.0
*/
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
/**#@-*/[/code]
代码中的链接给出了一套密钥规则,你可以用所给的规则来代替代码中的四行define规则。
7,WordPress安全插件
值得庆幸的是,WordPress拥有为数不少的安全插件。 下面只介绍一些最基础最重要的安全插件。
WP Security Scan插件
WP Security Scan插件会查看你的WordPress安装文件,看是否有安全漏洞并给出相应的意见。 该插件的查看范围包括:
1、密码
2、文件权限
3、数据库安全
4、版本号的隐藏
5、WordPress后台安全
6、从核心代码中移除WP Generator META标签
Login LockDown WordPress Security 安全插件
Login LockDown记录尝试登陆WordPress失败的所有IP地址和时间。 如果插件发现短时间内同一个IP段内多次登录失败,插件会对禁止该IP
段内所有登录请求。 Login LockDown有效阻止了暴力破解密码。
Stealth Login插件
用户可以通过这款插件自定义登录、登出、注册所用的URL。
AntiVirus for WordPress插件
AntiVirus for WordPress是一款保护博客不被采集和垃圾评论入侵的有效插件。 这款插件的用途包括: 检测可能存在的平台漏洞、病毒感
染、恶意链接等。AntiVirus for WordPress还可以给你发送邮件通知和白名单。安全预防措施
以下是一些简单的安全预防措施:
1、时将WordPress和插件都更新到最新版本
2、除不用的WordPress主题和插件
3、用安全程度较高的密码
4、使用“admin”为登录名
5、WordPress文件规定正确的文件许可权限
6、期备份WordPress数据库(可利用备份插件)
8,修改wordpress后台
之前写过了,点击此查看
https://sdeno.com/修改wordpress后台-自定义后台登入地址/
9,删除wp-config-sample.php文件
wp-config-sample.php文件是初次建站时候用到的,站建立完成之后必须删除wp-config-sample.php文件。