青青子衿, 悠悠我心, 但为君故, 沉吟至今
« Twitter弃MySpace加盟Google Friend Connect澳门惊现Google地图街景车 »

十大WordPress安全设置技巧

  WordPress是目前世界上使用广泛的博客软件,比较容易受到各种攻击,因此WordPress安全性也是非常重要的,以下有10个安全技巧,可以帮助你轻松的解决WordPress安全性问题,以免你在WordPress的安全性上走更多的弯路。

  1、升级WordPress到最新版本

  一般来说,新版本的WordPress安全性都会比老版本要好一些,并且解决了已知的各种安全性问题,特别当遇到重大的版本升级时,新版本可能会解决更多的关键性问题。(例如老版本WordPress有remv.php重大漏洞,可能会导致遭受DDoS攻击,升级到最新2.7版本可解决这个问题)

  2、隐藏WordPress版本

  编辑你的header.php模板,将里面关于WordPress的版本信息都删除,这样黑客就无法通过查看源代码的防治得知你的WordPress有没有升级到最新版本。

  3、更改WordPress用户名

  每个黑客都知道WordPress的管理员用户是admin,具有管理员权限,会攻击这个用户,那么你需要创建一个新用户,将其设置为管理员权限,然后删除老的admin帐号,这就能避免黑客猜测管理员的用户名。

  4、更改WordPress用户密码

  安装好WordPress后,系统会发送一个随机密码到你的信箱,修改这个密码,因为这个密码的长度只有6个字符,你要将密码修改为10个字符以上的复杂密码,并尽量使用字母、数字、符号相混合的密码。

  5、防止WordPress目录显示

  WordPress会默认安装插件到/wp-content/plugins/目录下,通常情况下直接浏览这个目录会列出所有安装的插件名,这很糟糕,因为黑客可以利用已知插件的漏洞进行攻击,因此可以创建一个空的index.html文件放到这个目录下,当然,修改Apache的.htaccess文件也可以起到相同的作用。

  6、保护wp-admin文件夹

  你可以通过限定IP地址访问WordPress管理员文件夹来进行保护,所有其他IP地址访问都返回禁止访问的信息,不过你也只能从一两个地方进行博客管理。另外,你需要放一个新的.htaccess文件到wp-admin目录下,防止根目录下的.htaccess文件被替换。

  7、针对搜索引擎的保护

  很多WordPress系统文件不需要被搜索引擎索引,因此,修改你的robots.txt文件,增加一行Disallow: /wp-*

  8、安装Login Lockdown插件

  这个插件可以记录失败的登录尝试的IP地址和时间,如果来自某一个IP地址的这种失败登录超过一定条件,那么系统将禁止这一IP地址继续尝试登录。

  9、WordPress数据库安全

  数据表最好不要使用默认的wp_开头,安装数据库备份插件,无论做了多少保护,你还是应该定期备份你的数据库,使用WordPress Database Backup等插件可以实现数据库的定期备份。

  10、安装Wordpress Security Scan插件

  这个插件会自动按照以上的安全建议对你的WordPress进行扫描,查找存在的问题,使用较为简单。

  英文原文:Top Ten Wordpress Security Tips
  中文译文:十大WordPress安全设置技巧



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/1617.html
  • 文章排行:
  • 1.lukeliu
  • 最近就打算用wordpress建个博客,月光的英文博客wordpress 主题不错,但主题链接访问不了。
    减肥药排行榜 于 2010-3-22 21:51:04 回复
    学习了
    减肥药排行榜 于 2010-3-22 21:52:49 回复
    博主是用的Z-blog嘛?
  • 2008/12/16 12:40:55   支持(12)反对(4) 回复
  • 2.sleven
  • to housne:

    function remove_generator() {
    return '';
    }
    add_filter('the_generator', 'remove_generator');

    在主题functions.php文件里面加上这段就可以隐藏版本meta了。
  • 2008/12/17 0:49:46   支持(14)反对(6) 回复
  • 3.williamlong
  • 楼上你看懂文章没有,我说的是删除版本信息,防止黑客攻击,不是说删除版权信息,拜托你看懂了文章再发言好不。
  • 2008/12/16 17:02:55   支持(9)反对(3) 回复
  • 4.sunny
  • 先试试看!貌似都是好东西,
  • 2008/12/19 9:08:35   支持(13)反对(7) 回复
  • 5.蓝天博客
  • WP 2.7据说有很大漏洞。好在我还没有升级
  • 2008/12/16 13:56:11   支持(13)反对(8) 回复
  • 6.快乐
  • 另外,你需要放一个新的.htaccess文件到wp-admin目录下,防止根目录下的.htaccess文件被替换。

    这句话什么意思??

    是说复制与根目录下的.htaccess同样的文件到wp-admin目录下??还是建立一个空的.htaccess文件在wp-admin目录下,或文件里写些什么??本人新手,请指点,谢谢!!!
  • 2009/7/20 9:00:02   支持(8)反对(4) 回复
  • 8.Mojo
  • 谢谢月光的解答~
    不过就第5点而言,应该加入的是Options All -Indexes
  • 2008/12/17 10:23:12   支持(7)反对(4) 回复
  • 9.kkk
  • 我的空间是自动备份的,不用安装数据库备份插件.
  • 2009/5/5 20:16:32   支持(4)反对(1) 回复
  • 10.曾庆华
  • 刚用上这个系统不长时间,刚好学习了!!
  • 2009/6/11 17:00:58   支持(5)反对(2) 回复
  • 11.乐者为王
  • 学习一下,虽然不用这系统
  • 2009/3/10 20:42:07   支持(10)反对(8) 回复
  • 14.beyondbird
  • 月光,能不能写一下十大Z-BLOG安全设置技巧?
    期待中......
  • 2008/12/16 14:29:46   支持(4)反对(3) 回复
  • 17.aunsen
  • 很有用啊!代表WP的用户感谢月光了!
  • 2009/1/9 11:47:55   支持(4)反对(3) 回复
  • 19.图片
  • 能有时间看看我的网站吗,给点意见
  • 2011/5/8 7:59:33   支持(7)反对(6) 回复
  • 22.williamlong
  • 加入类似 order deny,allow
    deny from 58.1.1.1 这样的IP地址即可。
  • 2008/12/16 18:59:19   支持(4)反对(4) 回复
  • 23.carina
  • 我不怀好心,想过来发小广告。。。后来发现你的博客介绍和我的一样,我决定不发了
  • 2008/12/16 22:00:59   支持(7)反对(7) 回复
  • 25.邵希杰
  • 看来要预防一下了,先去删除ADMIN
  • 2009/10/26 14:32:14   支持(3)反对(3) 回复
  • 27.卫子木
  • 不知道,这样做安全性到底好不好,顺便发下外联,小网站,龙哥别介意。岁月博客zhaibu—com看着你的站点成长的
  • 2013/3/18 20:07:18   支持(3)反对(3) 回复
  • 28.蓝天博客
  • 这个很实用。今天试用下。月光的这篇文章不错
  • 2008/12/16 13:15:54   支持(5)反对(6) 回复
  • 30.Mojo
  • 是刚刚查到的,看来.htaccess真的是很有用~
  • 2008/12/17 10:24:06   支持(5)反对(6) 回复
  • 32.山寨谷歌
  • 发现月光博客访问速度最近比较慢。
  • 2008/12/16 14:14:47   支持(3)反对(5) 回复
  • 33.Mojo
  • 谢谢月光这篇文章,很全面~
    但有个问题想问:
    请问第5点里,应该加什么样的语句到.htaccess文件中?
  • 2008/12/16 17:28:00   支持(4)反对(6) 回复
  • 34.喵小可
  • 我使用帝国备份王备份wordpress数据库,呵呵
  • 2008/12/17 0:16:41   支持(5)反对(7) 回复
  • 35.晨光博客
  • 准备有这个建一个自己的博客!
  • 2010/12/16 16:15:17   支持(6)反对(8) 回复
  • 36.seyeskcn
  • 楼主站点页面的颜色很好看啊,能告诉下吗 我也想改一下 谢谢了
  • 2011/4/17 13:36:29   支持(5)反对(7) 回复
  • 37.雪深
  • 好像我都做到了 还以为十大有多了不起 原来是标题×
  • 2008/12/16 15:14:15   支持(4)反对(7) 回复
  • 38.大菠萝
  • 你就这样注重版权的?你用别人东西给钱了吗?连个版权都要去掉,无语。。。。
  • 2008/12/16 16:47:30   支持(2)反对(5) 回复
  • 39.housne
  • 通过修改header.php 好像无法隐藏版本信息
  • 2008/12/16 14:10:06   支持(3)反对(7) 回复
  • 41.室内门十大品牌排名
  • WordPress原来有那么多技巧,学习了!
  • 2011/9/5 8:23:52   支持(4)反对(8) 回复
  • 42.会律
  • 先试试看!貌似都是好东西,
  • 2008/12/16 23:38:43   支持(5)反对(11) 回复
  • 43.wanghui
  • 看了这篇网站很好,有两个地方不明白,请指教:

    5、防止WordPress目录显示
    "修改Apache的.htaccess文件也可以起到相同的作用。"

    请问怎么修改?

    6、保护wp-admin文件夹
    “另外,你需要放一个新的.htaccess文件到wp-admin目录下,防止根目录下的.htaccess文件被替换。:

    请问“新的.htaccess文件”内容写什么?

    谢谢
  • 2009/11/27 8:09:35   支持(3)反对(10) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.