当前位置: 首页 > 图文教程 > 网站运营 > 建站经验 > 关于WordPress安全的6个建议

建站经验
流量之外更看效果 增加用户粘性六个要点
跳出分类窠臼 地方网站如何发展地方新闻
拒绝游泳的鱼:网站运营思路和坚守精神
如何防止SWF文件被反编译?
差异化的资源整合推广与突出互动
基础教程:从八个方面进行对网站思路重构
构建网站友好性基础 语义化网站的html标签
网站优化基本的五个具体步骤与方法
关注更多的东西 资讯类网站践行长尾理论
地域性SNS网站 提升易用性可以完善的细节
走出一条情感路 地方网站架起你的怀旧桥
经济危机下,决心好好做站
一个站长论坛运营经验:和大家分享
提高你的站点访问量之谋略
保持论坛气氛 女站长让小流量地方站成功!
从用户访问网站的角度 谈网站运营四要素
初做网站最喜欢犯毛病 网站发展四点思考
地方性门户网站 除了广告还能靠什么盈利
地方网站的地方化运营
英文网站建设与中文网站建设区别之设计篇

建站经验 中的 关于WordPress安全的6个建议


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-17   浏览: 106 ::
收藏到网摘: n/a

上星期博客被黑了,以前总觉得没什么,就是一个小站而已,现在才知道安全是很重要的,很多人肯定和以前的我一样,不是很看重。今天总结一些关于WordPress安全的建议,分享给大家。

1.保护好你的密码

这是一个老生常谈的话题了,任何人都知道密码的重要性,被别人盗取了密码就算是完了...所以密码要保护好,而且需要经常更换。

2.升级WordPress以及插件到最新版本

旧的版本肯定多多少少存在一些漏洞,所以要升级Wordpress到最新版本,还有一些插件,也是需要升级的,方法很简单,有些主机可以直接升级,有些主机不行的话可以去官网下载最新版本安装,注意升级前最好备份好你的数据库!

3.隐藏WordPress版本信息

建议修改一下的模板中的header.php,将里面关于WordPress的版本信息都删除,这样黑客就无法通过查看源代码来判断你的WordPress有没有升级到最新版本,你的Wordpress版本有没有特定的漏洞。

4.保护好一些特定的目录

WordPress的重要目录主要是/wp-admin/, /wp-content/plugins/和/wp-content/themes/这3个。

/wp-admin/这个目录比较重要,涉及到后台管理的安全,可以在该目录中新建一个.htaccess文件,阻止除了自己以外的IP的访问。具体代码如下

以下为引用的内容:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Example Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from ***.***.***.***
allow from ***.***.***.***
</LIMIT>


其中***.***.***.***是指你登录后台的IP,从而达到过滤其他人登录的IP。

对于/wp-content/plugins/和/wp-content/themes/,主要是隐藏你的插件和主题的信息,最简单的方法就是在这两个目录中添加一个空的index.html,当然也可以在根目录的.htaccess文件中添加一句Options -Indexes

5.设定好一些目录和文件的权限

对Wordpress目录和文件权限的设置,可以让博客用得更加方便更加安全。

Wordpress根目录:所有文件仅对于您的用户帐号可写。除了 .htaccess 如果您希望WordPress为您自动生成重写控制。

/wp-admin/ - WordPress控制区域:所有文件仅对于您的用户帐号可写。

/wp-includes/ - 主要的WordPress逻辑应用程序:所有文件仅对于您的用户帐号可写。

/wp-images/ - WordPress使用着的图形文件:所有文件仅对于您的用户帐号可写。

/wp-content/ - 可变的补充使用集目录。

/wp-content/themes/ - 主题文件。如果您想要使用内置的主体编辑器,所有的文件都需要共享可写。如果您不想要使用内置的主体编辑器,所有文件可仅对于您的用户帐号可写。

/wp-content/plugins/ - 插件文件:所有文件仅对于您的用户帐号可写。

另外wp-config.php这个文件,其中包含连接wordpress 数据库的用户名与密码,要慎重,只读就行了。网上有朋友说必要的时候可以设置成600,我没试过。

6.做好定时备份

备份是重中之重!有了备份,到了没办法的时候还可以用删除全部然后恢复的方法来还原博客。一般需要备份好你的主题文件(themes),插件文件(plugins),上传的媒体文件(uploads),还有最重要的数据库。