9种增强WordPress安全性的方法

2009年11月6日07:01:34 技术分享 11 1

9种增强WordPress安全性的方法

对于WordPress博客的数据,有这么一句话:不是WordPress博客数据不重要,是没尝过丢失的滋味。

有些朋友可能有这种经历:访问一个站的时候,会出现提示:This site may harm your computer(这个网站可能会伤害你的电脑),而且是红色背景,这种被判定为不允许访问的站点,一般都是被黑客入侵过的。

这篇文章的主要目的是提醒大家,把日常一些不注意的,容易疏忽的可以引起WordPress安全隐患的给提出来,希望各位能检查一下自己的博客,毕竟,谁都不希望出现“XXX”门。

一,保证WordPress数据库安全

有些朋友需要把数据库合用,几个程序使用一个数据库,这种习惯是不好的,首先会造成单一数据库很臃肿,其次是备份起来也很麻烦,最后是如果有问题,都可能挂掉。在创建WordPress数据库的过程中,要遵循一下原则:

  • 使用独立的数据库。
  • 给数据库用户设置合理的访问权限。使用国外Cpanel类WordPress主机的朋友都清楚,在把数据库用户添加到数据库的时候,有一个权限选择的页面,在以前,可能大家都是全选,但现在,需要告诉各位的是,最好只勾选一下权限:选择,生成,插入,更改,更新,丢弃,删除。在操作的时候,可以参考Wopus提供的数据库权限设置图:
    9种增强WordPress安全性的方法
  • 给数据库设置一个强悍的密码。最高的境界是,自己不记得密码是多少,而且Cpanel类WordPress空间会生成很复杂的密码,也会检测并报告密码的强壮度。

二,加固wp-config.php文件

每隔一段时间,最好检查一下自己的wp-config.php文件,而且不要只检查数据库配置那块,wp-config.php里的每行代码都值得观看。

从WordPress 2.6开始,为了能保证Cookies的安全性,WordPress开始在wp-config.php里加入 WordPress secret key,并且提供了官方生成工具:WordPress secret key generation tool

除此之外,在安装WordPress的时候,也记得修改一下WordPress数据库的前缀,替换到默认的wp_,至于修改成啥样的,那就是越难记住越好,但不要有太多的字符。

三,不用使用默认的WordPress帐户。

安装WordPress成功之后,生成的默认的用户名是 admin,登陆到后台之后,第一件事情不是去修改密码,而是从新建一个管理员,然后把admin帐户删除。可以直接在WordPress后台完成,新建管理员帐户的时候,密码设置可以强悍一些。
除此之外,定期修改管理员帐户的密码也是一个好的习惯,现在的浏览器,以Firefox和Chrome为主,不但恶意记住密码,还能显示密码,所以各位如果电脑经常暴露在人群中,保存密码就要多留一个心眼了。

四,及时更新WordPress到最新版

某位顶级黑客在谈到如果做好电脑安全的时候,就一句话:有安全补丁就及时更新。这句话对WordPress同样使用,从WordPress 2.5开始,WordPress的更新速度逐渐越来越快,但有一些都是被动更新的,因为有安全漏洞,不管如何,及时更新WordPress到最新版本。目前WordPress官方最新版本是 2.8.5。至于如何第一时间获得WordPress最新的消息,多多关注Wopus就就可以了。

五,经常备份WordPress程序及数据库

俗话说的好,有备无患。Wopus这里主要给备份的原则:WordPress程序修改了就备份,不修改不用备份;数据库可以根据的频率备份,每周备份一次是一个不错的选择,当然如果数据量特别大,每天或者每两天备份一次都可以。
WordPress备份的方法是多种多样,这里有几篇Wopus曾经发布过的关于数据备份的文章。

如何进行Wordpress的日常备份http://www.wopus.org/wordpress-deepin/tech/40.html

WordPress完美备份数据方法及教程http://www.wopus.org/wordpress-deepin/tech/1009.html

Mysql较大数据库的备份与导入:http://www.wopus.org/wordpress-deepin/tech/1035.html

用Cronjob定时备份数据库并发送至邮箱 http://www.wopus.org/wordpress-deepin/tech/1151.html

六,保证任何一个目录都无法被访问

目前绝大多数的WordPress专业主机都能做到这一点,不多介绍,但是请注意,保证根目录下在的index.php文件的安全非常必要。

七,特别保护wp-admin目录

保护的方法可以通过在.htaccess里修改来完成,16个简单实用的.htaccess技巧(http://www.wopus.org/wordpress-deepin/tech/1271.html

八,保护wp-content文件夹里的文件

WordPress的PHP文件是无法通过http访问的,所以,这里我们需要注意的是图片,附件,CSS和JS代码。保护的方法还是修改.htaccess。代码如下:
Order Allow,Deny
Deny from all

Allow from all

九,隐藏WordPress的版本号

这已经不知道是Wopus第几次提到这个问题了。这又是一篇新的文章,再说明一下原因,WordPress因为知名度越来越大,会被越来越多人关注,当然会有一些很厉害的人,他们也许读到了在WordPress的某个版本中还隐藏着安全隐患。这就是WordPress的漏洞,根据漏洞可以获得一些额外的东西,最严重的就是被入侵,数据全部丢失。

至于隐藏WordPress的版本号,一是希望各位不要在Footer的地方加上WordPress的版本代码,显示出来不好,第二,需要检查一下header.php文件,如果看到了有这行代码< ?php bloginfo(’version’); ?> ,记得去掉。

或者在主题文件function.php里加上:< ?php remove_action('wp_head', 'wp_generator'); ?>

如果您有其他关于增强WordPress安全性的建议,欢迎投稿给我们:http://www.wopus.org/tougao。您也可以留言发表对WordPress安全性的看法。

评论已关闭!

目前评论:11   其中:访客  6   博主  0   引用   5

    • Mars Mars 3

      沙发~~~~
      安全很重要。。。

      • yzg1943 yzg1943 1

        好东西,收藏,完善下自己的,谢谢了

        • 创意无限 创意无限 4

          每周定时备份数据库 呵呵

          • bolo bolo 5

            wordpress的版本号应该不是这样隐藏的

              • 酋 长 酋 长 9

                @bolo 哈哈。方法不可能只有一种吧。

              • Wopus访客 Wopus访客 0

                路过看到留下言,博主的内容不错,有空多交流。

              • 来自外部的引用: 5

                • WordCamp NYC 2009 « Wopus中文博客平台 – Wordpress
                • 使用WampServer在本地玩转WordPress « Wopus中文博客平台 – Wordpress
                • 两种移除WordPress版本提示功能方法 « Wopus中文博客平台 – Wordpress
                • 使用WampServer在本地玩转WordPress « 风轻
                • 两种移除WordPress版本提示功能方法 – 网赚连连看分享堂