WordPress是目前全球范围内最受欢迎的博客软件,也正因为如此,WordPress博客网站成为众多黑客的攻击目标。尽管主机的WordPress主机是最安全可靠的WordPress主机,但是你的WordPress站点还是存在被攻击的风险。不过WordPress专家和开发人员也从未间断过地和黑客作斗争,必盛互联也一直关注着WordPress的安全问题,经过多年的经验,必盛互联总结出保障WordPress博客网站安全的一些方法。
提高WordPress安全性的办法一:转移wp-config.php文件
我们都知道WordPress的很多配置文件都是存放在wp-config.php中的,这是WordPress最重要的一个文件,也是最容易遭到攻击的一个文件,因此提高WordPress安全性就应该从这个文件下手。我们可以wp-config.php转移到其他目录。例如你可以新建一个目录在保存wp-config.php文件,然后在这个目录中新建一个.htaccess文件,并添加以下内容:
# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>
提高WordPress安全性的办法二:保护/wp-admin/文件夹
WordPress的很多重要信息都保存在/wp-admin/文件夹,但是这个文件夹是公开的,也就是说别人也有访问这个文件夹的可能。所以提高WordPress安全性的时候,我们需要保护/wp-admin文件夹,你可以这样做:
在/wp-admin/文件夹中建立一个.htaccess的文件,加入以下代码,只允许自己的IP地址访问该文件夹。但是如果你的IP地址经常发生改变的话,不建议使用这个办法:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Example Access Control”
AuthType Basic
order deny,allow
deny from all
allow from xx.xx.xx.xx(填写自己的IP)
allow from xx.xx.xxx.xx(填写自己的IP)
提高WordPress安全性的办法三:隐藏WordPress版本标识
你网页上的WordPress版本标识也有可能给你带来安全隐患,因此,提高WordPress安全性的时候,可以修改主题模板,取消网页头当中的WordPress版本标签。具体方法如下:
在你的主题文件夹下面找到header.php文件,然后删除该文件中的一下代码:
” /> < !-– leave this for stats please –>或者至少删掉< ?php bloginfo(’version’); ?>。
提高WordPress安全性的办法四:隐藏使用的插件
不要在你的wordPress中添加过多插件,只使用必要的一些插件即可。过多的插件不仅影响你网站的性能,还会带来安全隐患。因此为了提高WordPress安全性,需要隐藏自己使用的插件。方法很简单,你只需要在你的/wp-content/plugins/文件夹当中新建一个index.html的空白文件即可。
提高WordPress安全性的办法五:及时升级WordPress
WordPress官方网站上会定期发布新版本的WordPress或者提供漏洞补丁下载。请及时安装这些更新和补丁,因为每一次更新和补丁都有可能修复一些已知的WordPress安全漏洞,因此提高WordPress安全性的办法,终极办法就是及时升级WordPress,坚持使用最新的WordPress。WordPress最新版本可以在WordPress官网WordPress.org下载,也可以直接在WordPress仪表盘中按照提示更新。
WordPress是一款开源的博客软件,所以版本越低越容易受到黑客的攻击,所以为了WordPress博客网站的安全着想,当有新版本的WordPress软件时需要及时更新。
而许多WordPress用户并不会使用最新版本的WordPress,这是因为他们使用的一些WordPress插件并不兼容WordPress最新版本。如果出现这种情况,你需要权衡插件和可能存在的风险二者的重要性,其实很多时候不兼容最新版本WordPress的插件也可以使用一些兼容性强的类似插件代替。
如果实在不能升级WordPress,你可以通过Secure WordPress插件来隐藏WordPress版本号来避免黑客攻击。
提高WordPress安全性的办法六:注重信息系统安全
在考虑WordPress博客网站的安全之前,你需要检查主机空间、网络和计算机的安全,只有保证主机空间等的安全之后你才能放心使用WordPress及其插件。
无论你是使用WordPress还是Z-blog等CMS来创建网站,你都需要选择一个安全可靠的主机空间,比如在降低安全风险方面做得很好的WordPress主机。你所选择的主机空间至少应该满足以下几个方面:
- 主机商主动提供主机空间可能存在的安全问题和相关措施
- 能及时更新所有服务器软件
- 能有效地对数据进行备份和恢复
在确保主机空间的安全性以后,你需要考虑网络漏洞以及电脑安全,你可以下载防火墙、间谍软件保护、杀毒软件和实时恶意软件检测程序,此外,你还需要确保你的操作系统和所有计算机软件都是最新版本并安装了最新的安全补丁。
提高WordPress安全性的办法七:使用强度高的WordPress密码
虽然一些黑客是通过入侵WordPress后台来达到攻击的目的,不过也有一些黑客是通过盗窃账号和密码来攻击你的WordPress博客网站,所以你应该设置一个高强度的WordPress密码。
除了设置一个高强度的密码,你还需要定制你的登录名,默认的用户名是admin,这也是黑客最容易攻击的登录名。因为默认的用户名无法修改,所以你需要创建一个新用户并删除之前的管理员账户。
此外, 你还可以使用一些插件来增强登陆的安全性。
Stealth Login Page—— 这款插件可以很好地保护WordPress后台管理页面和后台登陆页面不被黑客攻击,你可以开启加密登陆页面功能。
User Locker——可以自行设置输入密码的最大次数,如果多次输入无效密码,这个WordPress账户便将被锁住,只有通过设置新密码或寻求管理员帮助才能重新登陆。
One-Time Password——这主要用于在一些公共网络登陆,比如酒店或者wifi 热点。这款插件会为用户创建一次性密码,有效保证了账户的安全。
提高WordPress安全性的办法八:对WordPress进行定期备份
定期备份WordPress博客网站可以应对一些突发状况。你可以使用下面两种插件来帮助你备份网站。
WP-BD Manager——这是目前最可靠的备份插件,为用户提供了全部文件的备份和恢复。
WP Time Machine——允许用户将WordPress文件和数据备份到Dropbox账户、Amazon AWS S3 账户或者远程FTP中。
安装WP Security Scan
这款插件可以扫描WordPress网站常见的安全问题,并提供每个安全问题的解决指令。
提高WordPress安全性的办法九:隐藏登陆错误提示信息
当有人输入了不正确的登陆信息时,WordPress会提示登陆错误的原因,一些黑客便可根据这些提示进一步攻击你的网站,不过如果你隐藏了登陆错误的提示信息,便使黑客无机可趁。你需要打开名为function.php的WordPress系统文件,然后输入下列代码。
add_filter(“login_errors”,create_function(“$a”, “return null;”));
提高WordPress安全性的办法十:禁用文件编辑
在对WordPress采取了充足的保护措施之后,你还可以选择禁用文件编辑来避免黑客的攻击。默认情况下,管理员可以编辑系统文件,包括主题文件、PHP文件盒插件等,因为这些文件可以运行可执行代码,所以黑客经常利用这点才介绍恶意软件,从而获取用户信息。你可以在名为wp-config.php的WordPress文件中输入下列代码来实现文件编辑禁用。
define(“DISALLOW_FILE_EDIT”, true);
总结
虽然我们永远无法保证WordPress博客网站100%安全,不过我们可以通过上文的方法来最大限度地降低风险。
