提高wordpress 的安全性

ycppp

为了不让你的博客哪天被人挂了个木马链接，适当的防范工作还是要做的。这里，我列举了几个常用的防范措施。隐藏Wordpress的版本号虽然Wordpress本身的安全性已经很好了，但多少还是会有些Bug（不然就不会有那么多的补丁发布了），一不小心就可能会被黑客利用。除了经常更新Wordpress之外，最好还是将Wordpress的版本号隐藏掉。很多Wordpress主题，包括Wordpress默认的主题，都会把Wordpress的版本号加在网站的头部。在模板文件夹的header.php文件里你经常会看到这样一句话：<meta name="genrator" content="WordPress <php bloginfo('version'); ? /这样就直接泄露了你的Wordpress版本号，于是可能导致在你没有来的及更新Wordpress时，被黑客利用旧版本中的Bug攻击你的博客。禁止用户浏览目录有些主机默认会允许用户访问目录列表，你可以尝试在浏览器中访问“/wp-includes”目录，看文件是否有被列出来。Options All -Indexes更多关于.htaccess的使用技巧可以参考我的另一篇文章：《Wordpress中.htaccess的使用技巧》。另外在Wordpress中，有很多不必要的路径是不需要被搜索引擎抓取到的。比方以wp-开头的管理面板。这个你可以在.htaccess中修改（方法见上面给出的那篇文章），也可以完全不管。因为如今的搜索已经足够只能，可以分析出网站所用的框架，并自动过滤掉那边不必要的文件了。修改admin管理员名Wordpress默认会用admin做为管理员的名称。这样使得黑客可以暴力破解你的网站。所以你可以把管理员改为自己的用户名。Wordpress 3.0以上的版本已经原生支持修改管理员的功能了。另外，一个好的密码也是很重要的，最好的密码是大小写混杂数字，并毫无意义，当然，前提是你也要记得住才行哦~其实，我更建议你在管理员之外，再创建一个用户，只赋予编辑权限，专门用来发布、修改文章。只有在必要的时候（比方添加删除插件），再登陆管理员账号。文件夹权限登陆Wordpress后台后，Wordpress经常会提醒你，你的XXX目录权限过低。很多时候，这条警告都会被用户忽略掉，但其实文件的权限设置非常重要，过低的权限可以会导致黑客以一个其它用户登陆系统，修改你的wordpress文件。对于文件夹，一般755的权限就足够了。修改表的前缀Wordpress默认会经wp_做为数据库中表的前缀，笔者建议把它修改成一个随即的值。这个在你安装的时候可以选择。对于已经安装好的博客，如果你不想手动修改表和配置文件，可以用插件来帮你完成这项工作：Change DB Prefix。利用插件提高安全性Exploit Scanner： 扫描网站的中恶意代码。WordFence Security或WordPress Sentinel: 检测Wordpress原文件是否被修改。VIP Scanner：检测被插入到你模板中的广告信息。最后，希望每个Wordpress站长都能拥有一个安全的博客。引用朋友的一句话做结束语：做站长，开心最重要。^_^