现在越来越流行用WordPress搭建网站,目前全世界已经有8.5%的网站采用了WordPress平台。由于它是一个开源的博客工具,每个人都可以下载查看它的源代码,这样他在方便了web开发人员的同时也为黑客提供了方便,黑客们要找打破解和攻击WordPress的方法并不是一件困难的事情。不过这并不是说使用WordPress就很容易被黑客攻击,WordPress依然是一个安全可靠的博客平台。
要提高WordPress的安全性并不是一件困难的事情,必盛互联在这里为你总结了十点行之有效的如何提高WordPress安全性建议,让你可以轻松地为自己的网站穿上防弹衣。
1. 不要使用admin用户名
统计表明很多站长都喜欢用Admin,administrator之类的用户名作为网站管理员的登录账号,其实这样是很危险的。每个想要以管理员权限登录你的WordPress的人都会尝试ADMIN的用户名。目前最新版本的WordPress支持自定义管理员登录名,你可以在WordPress的设置中修改管理员账号。
2. 及时更新WordPress
一直使用最新版本的WordPress对提高网站的安全性是很有帮助的。一般来讲,新版本的WordPress在安全性方面会比老版本要好,新版本可能会修复老版本中已知的一些安全性问题。尤其是WordPress出现重大的版本升级时,往往会解决更多的关键问题。
3. 不要使用默认密码
安装WordPress的时候,如果你没有设置登录密码,WordPress会给你生成一个随机密码,这个密码只有6个字符,你最好使用一个更复杂的密码。
4. 使用强密码
不要使用那些简单的数字或者字母组成的密码,这样的密码很容易被黑客暴力破解。你应该使用强密码,在密码满足一定的复杂度要求的时候,破解密码对黑客来说就比较有难度了。强密码通常由大小写字母、数字和符号组成。你可以使用一些密码生产工具来生成你的密码,不过这样的密码并不好记。
5. 文件访问权限
WordPress中的某些功能允许web服务器写入某些文件。但是赋予程序对这些文件的写入权限是一件危险的事情,尤其是在开放的网络环境中。从安全的角度讲,你应该尽量禁用文件的访问权限,仅仅对那些必须要写入的文件赋予写访问权限。或者说为这些需要写入的文件单独建立一个有写访问权限的文件夹,例如上传的文件、图片等。
6. 数据库安全
如果你同时运行着多个WordPress站点,最好将这些站点的数据库分开,采用不同的数据库,每个数据库用不同的用户名进行管理。这是一种最大程度减小损失的策略。即使黑客成功的黑掉了你的某一个网站,也不会影响到你的其他站点。
数据库和数据表不要使用WP_开头。默认情况下,WordPress的数据表均是以WP_开头的。你可以在安装WordPress的时候,就修改数据表前缀。安装WordPress之后,你也可以利用WP Secure Scan 插件修改前缀,并且这款插件还有一些其他的实用功能。
7. 定期备份数据库
定期备份数据库可以让你在被黑客攻击之后最快的恢复数据。即使你的安全措施做得非常完善,也不能100%地确保你的网站就不会被黑客攻击。一旦网站被黑,你平时备份的数据库就是你的救命稻草了。
8. 安装Login Lockdown插件
这个插件可以记录失败的登录尝试的IP地址和时间,如果来自某一个IP地址的登录失败在一定时间内超过一定条件,系统会禁止这个IP地址的登录请求。这在避免黑客用字典暴力破解你的用户名和密码。
9. 下载安全的插件和主题
由于WordPress的广泛应用,在网上可以下载WordPress插件和主题的地方非常多。并不是每个插件和主题都是安全的。根据必盛互联多年的经验,很多用户的网站被黑都是因为使用了带有恶意代码的插件或者主题。
在下载非官网提供的插件和主题之前,你可以先在网上看一下人们对这个插件和主题评价。尽量采用WordPress官方提供的主题和插件。
10. 选择可靠的WordPress虚拟主机
现在的WordPress虚拟主机市场鱼龙混杂,随处可见垃圾主机、骗子主机。这些主机的服务器往往没有必要的安全措施,甚至不能及时更新杀毒软件和病毒库,给运行在上面的网站带来了非常大的风险。所以选择WordPress虚拟主机的时候,一定要选择必盛互联这样可靠的虚拟主机。你可以参考如何选择WordPress虚拟主机的教程。
