建站策劃

Website development

教你幾招提升 Wordpress 網(wǎng)站安全性的方法

發(fā)布時(shí)間：2014-07-02 11:09:06

TAGS：

大約一個(gè)月前，這個(gè)部落格被黑客入侵（編按 Amit Agarwal 的網(wǎng)站）而其他托管于相同主機(jī)商的網(wǎng)站像是 ctrlq.org 和2hundredzeros.com 也深受其害，黑客成功從網(wǎng)路上拿下了這些網(wǎng)站

托管網(wǎng)站的主機(jī)商表示這可能發(fā)生于某些使用舊版的 WordPress 網(wǎng)站，導(dǎo)致密碼不幸洩漏，這段時(shí)間雖然歷經(jīng)一些艱難，但幸運(yùn)的是被刪除的網(wǎng)站已經(jīng)回復(fù)，且流量也回到正常

博客安全網(wǎng)站安全性 Wordpress網(wǎng)站

以下是我所做的變更，用來(lái)提高我的 WordPress 網(wǎng)站安全性，縱使這樣的意外可能再次發(fā)生

#1 使用你的 Email 作為登入帳號(hào)

當(dāng)你安裝完一個(gè) WordPress 網(wǎng)站時(shí)，預(yù)設(shè)的第一位用戶為 “admin” 你應(yīng)該建立不同的使用者名稱來(lái)管理你的 WordPress 網(wǎng)站，并將預(yù)設(shè)使用者 “admin” 刪除，或是將它的權(quán)限從「系統(tǒng)管理員」降級(jí)為「讀者」

你也可以建立一個(gè)完全亂數(shù)（難以被猜中）的使用者名稱，然后使用你的 Email 來(lái)登入 WordPress 外掛 WP-Email Login 可以加入此支援，使用你的 Email 取代帳號(hào)登入

#2 不要向全世界展示你的 WordPress 版本

WordPress 網(wǎng)站會(huì)在原始碼顯示版本號(hào)，讓其他人能夠知道你正在執(zhí)行舊的 WordPress

要從網(wǎng)頁(yè)里移除 WordPress 版本是狠簡(jiǎn)單的一件事，但你需要做一些額外的補(bǔ)強(qiáng)，從你的 WordPress 目錄將 readme.html 檔案刪除，因?yàn)樗矔?huì)把你所使用的 WordPress 版本展示給全世界

#3 別讓其他人擁有”寫(xiě)入”你 WordPress 目錄的權(quán)限

登入你的 WordPress 網(wǎng)站 Linux 系統(tǒng)列，執(zhí)行以下指令來(lái)取得所有「公開(kāi)」、其他用戶皆能寫(xiě)入的目錄清單

find . -type d -perm -o=w

你也許可以執(zhí)行以下兩行指令，來(lái)將你 WordPress 內(nèi)的檔案和目錄設(shè)定為正確的權(quán)限（參考資料）

find /your/wordpress/folder/ -type d -exec chmod 755 {} /;

find /your/wordpress/folder/ -type f -exec chmod 644 {} /;

對(duì)目錄來(lái)說(shuō)，755(rwxr-xr-x) 意味著只有擁有者具備寫(xiě)入權(quán)限，其他人只有讀取和執(zhí)行的權(quán)限對(duì)檔案來(lái)說(shuō)，644 (rw-r–r–) 意味著只有檔案擁有者具備讀取和寫(xiě)入權(quán)限，其他人為唯讀

#4 重新命名你的 WordPress 資料表前綴

如果你使用預(yù)設(shè)選項(xiàng)來(lái)安裝 WordPress 的話，你的 WordPress 資料表應(yīng)該會(huì)像是 wp_posts 或 wp_users 將資料表的前綴（wp_）更改為其他隨機(jī)值是比較好的作法，外掛2Change DB Prefix2可以讓你在彈指之間重新命名你的資料表前綴

#5 防止使用者瀏覽你的 WordPress 目錄結(jié)構(gòu)

這狠重要開(kāi)啟你 WordPress 根目錄底下的 .htaccess 檔案，然后在上方加入這行