如何將wordpress博客安全防護(hù)做到極致

2013-10-23 16:04:20 eNet硅谷動力　點(diǎn)擊量：評論 (0)

WordPress起初是一款個人博客系統(tǒng)，并逐步演化成一款內(nèi)容管理系統(tǒng)軟件，它是使用PHP語言和MySQL數(shù)據(jù)庫開發(fā)的，用戶可以在支持PHP和MySQL數(shù)據(jù)庫的服務(wù)器上使用自己的Blog。　　用wordpress搭建好博客以后需要

WordPress起初是一款個人博客系統(tǒng)，并逐步演化成一款內(nèi)容管理系統(tǒng)軟件，它是使用PHP語言和MySQL數(shù)據(jù)庫開發(fā)的，用戶可以在支持PHP和MySQL數(shù)據(jù)庫的服務(wù)器上使用自己的Blog。

　　用wordpress搭建好博客以后需要做一些防護(hù)工作：

　　1.選擇安全可靠的主機(jī)

　　謹(jǐn)慎選擇一款安全可靠的主機(jī)，不要使用免費(fèi)主機(jī)和劣質(zhì)主機(jī)。免費(fèi)主機(jī)只適合用來學(xué)習(xí)程序和建站方法，但是倡萌一直不建議使用免費(fèi)主機(jī)來托管正式上線的網(wǎng)站。當(dāng)然了，最好也不要使用那些特別廉價，管理經(jīng)驗(yàn)不足的主機(jī)商的服務(wù)。

　　2.升級到WordPress最新版

　　只從WordPress官方下載源碼，不要到第三方網(wǎng)站下載。盡可能升級到WordPress最新版，及時修補(bǔ)程序漏洞，包括WordPress核心源碼、WordPress主題以及WordPress插件。

　　3.使用官方WordPress主題和插件

　　這里所說的官方，一是WordPress官方，二是主題或插件開發(fā)者的官方，盡量避免使用“破解”版主題、插件，慎用網(wǎng)上傳播的原本是收費(fèi)，但是被人惡意提供免費(fèi)下載的主題、插件。

　　4.修改數(shù)據(jù)庫默認(rèn)前綴wp_

　　很多朋友安裝WordPress都沒有修改數(shù)據(jù)庫前綴，如果你打算修改默認(rèn)的前綴wp_，請根據(jù)如何修改WordPress數(shù)據(jù)庫前綴來修改。

　　5.修改默認(rèn)的用戶名admin

　　WordPress3.*以上已經(jīng)支持安裝時自定義登錄用戶名，如果你使用默認(rèn)的admin，建議你根據(jù)下面的方法進(jìn)行修改：

　　方法一：后臺新建一個用戶，角色為管理員，然后使用新用戶登錄，刪除默認(rèn)的admin用戶。

　　方法二：登錄phpmyAdmin，瀏覽當(dāng)前數(shù)據(jù)庫的wp_users數(shù)據(jù)表，將user_login和user_nicename修改為新用戶名。同時建議修改“我的個人資料”中的的昵稱，然后設(shè)置“公開顯示為”非用戶名的其他方式：

　　6.使用高級密碼，經(jīng)常更換密碼

　　建議使用含大寫字母、小寫字母、數(shù)字和其他符號的復(fù)雜密碼，比如nuH4j&*aHG%dMz，避免使用生日、手機(jī)號、QQ號等。

　　7.隱藏WordPress版本信息

　　默認(rèn)情況下會在頭部輸出WordPress版本信息，你可以在主題的functions.php最后一個?>前面添加：

　　//隱藏版本號

　　functionwpbeginner_remove_version(){

　　return'';

　　}

　　add_filter('the_generator','wpbeginner_remove_version');

　　8.修改wp-admin目錄的訪問權(quán)限

　　你可以通過限定IP地址訪問WordPress管理員文件夾來進(jìn)行保護(hù)，所有其他IP地址訪問都返回禁止訪問的信息。另外，你需要放一個新的.htaccess文件到wp-admin目錄下，防止根目錄下的.htaccess文件被替換。

　　9.定期備份網(wǎng)站數(shù)據(jù)

　　可以借助WordPress備份插件進(jìn)行自動備份或手動備份：WordPress數(shù)據(jù)庫定時備份插件：WordPressDatabaseBacku

　　使用WordPress自帶導(dǎo)出導(dǎo)入功能備份和恢復(fù)網(wǎng)站

　　WordPress克隆/備份/搬家插件：WPClone

　　WordPress超強(qiáng)備份插件：BackWPup（支持FTP/Email/本地/網(wǎng)盤）

　　10.安裝安全插件

　　WordPressFirewall2該插件可以幫助你識別/阻止一些有效的攻擊，例如目錄掃描、SQL注入、WP文件掃描、PHPEXE掃描等，并可將其定向到404或者首頁。如果有問題還可以通過電子郵件通知你處理，還可以阻止一些IP的訪問。

　　BetterWPSecurity由于大多數(shù)的WP網(wǎng)站存在插件漏洞、弱口令、過時的插件/程序，隱藏這些漏洞可以更好的保護(hù)網(wǎng)站，例如保護(hù)登錄和管理區(qū)(控制面板？儀表盤？)。LoginLockdown這個插件可以記錄失敗的登錄嘗試的IP地址和時間，若是來自某一個IP地址的這種失敗登錄超過一定條件，那么系統(tǒng)將禁止這一IP地址繼續(xù)嘗試登錄。

　　LimitLoginAttemptsLimitLoginAttempts限制登錄嘗試的次數(shù)來防止暴力破解，增強(qiáng)WordPress的安全系數(shù)。

　　WPSecurityScan該插件會自動按照以上的安全建議對WordPress進(jìn)行安全掃描，查找存在的問題。

　　11.修改WordPress后臺登錄地址

　　將下面的代碼添加到當(dāng)前主題的functions.php文件：

　　//保護(hù)后臺登錄

　　add_action('login_enqueue_scripts','login_protection');

　　functionlogin_protection(){

　　if($_GET['word']!='press')header('Location:http://www.malayke.org/');

　　}這樣一來，后臺登錄的唯一地址就是http://yoursite/wp-login.php?word=press，如果不是這個地址，就會自動跳轉(zhuǎn)到http://www.malayke.org/，不信你試試！你可以修改第4行的Word、press和http://www.malayke.org/這三個參數(shù)。

　　12.避免WordPress泄露你的用戶名

　　你有沒有想過，如果你的網(wǎng)站的登陸名被別人知道了，偏偏他是一個比較精通WordPress的人，而且會寫腳本暴力破解，那么后果就不堪設(shè)想。實(shí)際上，Wordpress這么一個漏洞，至今依然存在，并且常常會被黑客利用

　　想要知道WordPress的管理員用戶名？很簡單，只要在網(wǎng)站的域名后面加/?author=1就行了。

　　如果/?author=1顯示404界面，那很可能是以前有過admin用戶，后來站長發(fā)現(xiàn)用默認(rèn)帳戶admin太不安全了，就新建了一個管理員帳戶，并刪除了admin帳戶。這種情況下，用/?author=2就能顯示出用戶名了。如果使用admin帳戶，確實(shí)不安全，但是如果你的博客使用一個復(fù)雜的用戶名，卻經(jīng)不起這么簡單的一個URL的考驗(yàn)，這和使用admin帳戶沒有根本上的區(qū)別。既然存在漏洞，那么就要去填補(bǔ)它。要填補(bǔ)這個漏洞，倒還真的不是什么難事。我的思路就是，只要訪問主頁url后頭有author參數(shù)就讓他跳到主頁

　　將下面的代碼添加到當(dāng)前主題的functions.php文件：

　　add_filter('author_link','my_author_link');

　　functionmy_author_link(){

　　returnhome_url('/');

　　}

　　呵呵，大家有沒有發(fā)現(xiàn)這個思路上面修改WordPress后臺登錄地址是一樣的原理？

　　至此，有了以上的防護(hù)工作，你辛辛苦苦搭建的wp博客就不會沒那么容易的被黑闊光顧。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個贊