本文转自美国主机评论博客http://www.yd631.com/securing-wordpress/,自己复制收藏,作参考,如想详细了解,请移步美国主机博客。
目前大约80%的站长都有过用Wordpress程序建立网站。作为一款全球用户量最大的CMS系统,其安全性也值得我们去关心。博客经常被黑客挂有跳转木马,其安全性需要我们高度重视,不然自己的流量被别人白白利用了。在麦子的文章里面整理了下面9个最全的安全保护方法,我现在抄录下来,供自己和大家参考。
方法之一,备份我们的wordpress网站
如果我们使用的主机采用cpanel或者其独立的管理面板,都有可以很方便的一键备案网站文件的方法;如果我们选择的主机商能够帮助我们每日备份,那我们的安全性也不可怕。但需要记住,自己一定要一段时间备份一次。不论我们是采用插件备份,还是手工面板备份。
方法之二,更新wordpress到最新版本
虽然我们现在都知道,WP程序越更新越臃肿,导致占用内存资源很大,但是为了安全性,我们必须去更新。我们都会发现每一次更新都有一条是安全性升级。
方法之三,请勿使用admin用户名
我们都知道,默认搭建WP网站的时候,用户名默认的是admin,这些黑客都知道,而且我们也很容易的知道后台的路径。我们需要修改用户名,可以在建立博客的时候修改为非admin,或者在后台添加一个超级用户,然后删除admin账户,而且密码需要复杂。我一般是采用数字+大小写字母+符号组合。有必要的话一个月修改一次。
方法之四,设置wordpress的安全密匙
我们在wp-config.php文件中是不是会发现如下的代码:
define(‘SECURE_AUTH_KEY’, ‘替换该字符串’);
define(‘LOGGED_IN_KEY’, ‘替换该字符串’);
define(‘NONCE_KEY’, ‘替换该字符串’);
这些都是记录管理员COOKIES的,如果不相符是不可以登录,一直会显示在登录初始页面。
方法之五,安装”WP Security Scan”安全扫描插件
麦子之前一直说插件尽量少装,但是这款插件建议大家可以试试,因为可以安全扫描我们网站下是否有安全漏洞,如果有会提示我们去修正。有些主机商的CP面板也有这样的功能,比如今天上午IX主机商就扫描到网站有被利用发送垃圾评论,要求我去修改。
方法之六,设置不一样的表头
我们是不是在建立博客的时候,看到wp_开头的默认表头,这个一定要记得修改。因为很容易被黑客猜测到我们数据库表,很多SQL入侵都是这样的,我们可以利用自定义的字符来定义表头。如果我们修改必须先备份数据库,批量修改表头之后,然后修改wp-config中的WP_代码就可以实现。
方法之七,设置robots.txt定义爬虫
这个方法老外网站推荐使用的,我们国内的博客喜欢默认就可以,但是我们需要进行定义设置,很多黑客可能会利用爬虫抓取来破坏我们网站的数据收录。一般可以设置为:
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/ Disallow: /*/feed/rss/$
方法之八,利用.htaccess文件控制安全
上面是用来保护.htaccess安全性;
上面的命令是用来保护wp-config.php文件的安全性;
方法之九,谨慎使用”Wordpress Firewall 2″插件
这个是用在有大量的黑客入侵的时候,一般不要使用,使用后可能使我们的网站自身锁定。
转载请注明:凯泽de博客 » 【博文转】有效保护WordPress安全的9个方法