如何將wordpress博客安全防護(hù)做到極致

2013-10-23 16:04:20 eNet硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

WordPress起初是一款個(gè)人博客系統(tǒng)，并逐步演化成一款內(nèi)容管理系統(tǒng)軟件，它是使用PHP語(yǔ)言和MySQL數(shù)據(jù)庫(kù)開(kāi)發(fā)的，用戶可以在支持PHP和MySQL數(shù)據(jù)庫(kù)的服務(wù)器上使用自己的Blog。　　用wordpress搭建好博客以后需要

　　用wordpress搭建好博客以后需要做一些防護(hù)工作：

　　1.選擇安全可靠的主機(jī)

　　謹(jǐn)慎選擇一款安全可靠的主機(jī)，不要使用免費(fèi)主機(jī)和劣質(zhì)主機(jī)。免費(fèi)主機(jī)只適合用來(lái)學(xué)習(xí)程序和建站方法，但是倡萌一直不建議使用免費(fèi)主機(jī)來(lái)托管正式上線的網(wǎng)站。當(dāng)然了，最好也不要使用那些特別廉價(jià)，管理經(jīng)驗(yàn)不足的主機(jī)商的服務(wù)。

　　2.升級(jí)到WordPress最新版

　　只從WordPress官方下載源碼，不要到第三方網(wǎng)站下載。盡可能升級(jí)到WordPress最新版，及時(shí)修補(bǔ)程序漏洞，包括WordPress核心源碼、WordPress主題以及WordPress插件。

　　3.使用官方WordPress主題和插件

　　這里所說(shuō)的官方，一是WordPress官方，二是主題或插件開(kāi)發(fā)者的官方，盡量避免使用“破解”版主題、插件，慎用網(wǎng)上傳播的原本是收費(fèi)，但是被人惡意提供免費(fèi)下載的主題、插件。

　　4.修改數(shù)據(jù)庫(kù)默認(rèn)前綴wp_

　　很多朋友安裝WordPress都沒(méi)有修改數(shù)據(jù)庫(kù)前綴，如果你打算修改默認(rèn)的前綴wp_，請(qǐng)根據(jù)如何修改WordPress數(shù)據(jù)庫(kù)前綴來(lái)修改。

　　5.修改默認(rèn)的用戶名admin

　　WordPress3.*以上已經(jīng)支持安裝時(shí)自定義登錄用戶名，如果你使用默認(rèn)的admin，建議你根據(jù)下面的方法進(jìn)行修改：

　　方法一：后臺(tái)新建一個(gè)用戶，角色為管理員，然后使用新用戶登錄，刪除默認(rèn)的admin用戶。

　　方法二：登錄phpmyAdmin，瀏覽當(dāng)前數(shù)據(jù)庫(kù)的wp_users數(shù)據(jù)表，將user_login和user_nicename修改為新用戶名。同時(shí)建議修改“我的個(gè)人資料”中的的昵稱，然后設(shè)置“公開(kāi)顯示為”非用戶名的其他方式：

　　6.使用高級(jí)密碼，經(jīng)常更換密碼

　　建議使用含大寫字母、小寫字母、數(shù)字和其他符號(hào)的復(fù)雜密碼，比如nuH4j&*aHG%dMz，避免使用生日、手機(jī)號(hào)、QQ號(hào)等。

　　7.隱藏WordPress版本信息

　　默認(rèn)情況下會(huì)在頭部輸出WordPress版本信息，你可以在主題的functions.php最后一個(gè)?>前面添加：

　　//隱藏版本號(hào)

　　functionwpbeginner_remove_version(){

　　return'';

　　}

　　add_filter('the_generator','wpbeginner_remove_version');

　　8.修改wp-admin目錄的訪問(wèn)權(quán)限

　　你可以通過(guò)限定IP地址訪問(wèn)WordPress管理員文件夾來(lái)進(jìn)行保護(hù)，所有其他IP地址訪問(wèn)都返回禁止訪問(wèn)的信息。另外，你需要放一個(gè)新的.htaccess文件到wp-admin目錄下，防止根目錄下的.htaccess文件被替換。

　　9.定期備份網(wǎng)站數(shù)據(jù)

　　可以借助WordPress備份插件進(jìn)行自動(dòng)備份或手動(dòng)備份：WordPress數(shù)據(jù)庫(kù)定時(shí)備份插件：WordPressDatabaseBacku

　　使用WordPress自帶導(dǎo)出導(dǎo)入功能備份和恢復(fù)網(wǎng)站

　　WordPress克隆/備份/搬家插件：WPClone

　　WordPress超強(qiáng)備份插件：BackWPup（支持FTP/Email/本地/網(wǎng)盤）

　　10.安裝安全插件

　　WordPressFirewall2該插件可以幫助你識(shí)別/阻止一些有效的攻擊，例如目錄掃描、SQL注入、WP文件掃描、PHPEXE掃描等，并可將其定向到404或者首頁(yè)。如果有問(wèn)題還可以通過(guò)電子郵件通知你處理，還可以阻止一些IP的訪問(wèn)。

　　BetterWPSecurity由于大多數(shù)的WP網(wǎng)站存在插件漏洞、弱口令、過(guò)時(shí)的插件/程序，隱藏這些漏洞可以更好的保護(hù)網(wǎng)站，例如保護(hù)登錄和管理區(qū)(控制面板？?jī)x表盤？)。LoginLockdown這個(gè)插件可以記錄失敗的登錄嘗試的IP地址和時(shí)間，若是來(lái)自某一個(gè)IP地址的這種失敗登錄超過(guò)一定條件，那么系統(tǒng)將禁止這一IP地址繼續(xù)嘗試登錄。

　　LimitLoginAttemptsLimitLoginAttempts限制登錄嘗試的次數(shù)來(lái)防止暴力破解，增強(qiáng)WordPress的安全系數(shù)。

　　WPSecurityScan該插件會(huì)自動(dòng)按照以上的安全建議對(duì)WordPress進(jìn)行安全掃描，查找存在的問(wèn)題。

　　11.修改WordPress后臺(tái)登錄地址

　　將下面的代碼添加到當(dāng)前主題的functions.php文件：

　　//保護(hù)后臺(tái)登錄

　　add_action('login_enqueue_scripts','login_protection');

　　functionlogin_protection(){

　　if($_GET['word']!='press')header('Location:http://www.malayke.org/');

　　}這樣一來(lái)，后臺(tái)登錄的唯一地址就是http://yoursite/wp-login.php?word=press，如果不是這個(gè)地址，就會(huì)自動(dòng)跳轉(zhuǎn)到http://www.malayke.org/，不信你試試！你可以修改第4行的Word、press和http://www.malayke.org/這三個(gè)參數(shù)。

　　12.避免WordPress泄露你的用戶名

　　你有沒(méi)有想過(guò)，如果你的網(wǎng)站的登陸名被別人知道了，偏偏他是一個(gè)比較精通WordPress的人，而且會(huì)寫腳本暴力破解，那么后果就不堪設(shè)想。實(shí)際上，Wordpress這么一個(gè)漏洞，至今依然存在，并且常常會(huì)被黑客利用

　　想要知道WordPress的管理員用戶名？很簡(jiǎn)單，只要在網(wǎng)站的域名后面加/?author=1就行了。

　　如果/?author=1顯示404界面，那很可能是以前有過(guò)admin用戶，后來(lái)站長(zhǎng)發(fā)現(xiàn)用默認(rèn)帳戶admin太不安全了，就新建了一個(gè)管理員帳戶，并刪除了admin帳戶。這種情況下，用/?author=2就能顯示出用戶名了。如果使用admin帳戶，確實(shí)不安全，但是如果你的博客使用一個(gè)復(fù)雜的用戶名，卻經(jīng)不起這么簡(jiǎn)單的一個(gè)URL的考驗(yàn)，這和使用admin帳戶沒(méi)有根本上的區(qū)別。既然存在漏洞，那么就要去填補(bǔ)它。要填補(bǔ)這個(gè)漏洞，倒還真的不是什么難事。我的思路就是，只要訪問(wèn)主頁(yè)url后頭有author參數(shù)就讓他跳到主頁(yè)

　　將下面的代碼添加到當(dāng)前主題的functions.php文件：

　　add_filter('author_link','my_author_link');

　　functionmy_author_link(){

　　returnhome_url('/');

　　}

　　呵呵，大家有沒(méi)有發(fā)現(xiàn)這個(gè)思路上面修改WordPress后臺(tái)登錄地址是一樣的原理？

　　至此，有了以上的防護(hù)工作，你辛辛苦苦搭建的wp博客就不會(huì)沒(méi)那么容易的被黑闊光顧。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊