月光博客 » 网站建设 » 十大WordPress安全设置技巧

十大WordPress安全设置技巧

  WordPress是目前世界上使用广泛的博客软件,比较容易受到各种攻击,因此WordPress安全性也是非常重要的,以下有10个安全技巧,可以帮助你轻松的解决WordPress安全性问题,以免你在WordPress的安全性上走更多的弯路。

  1、升级WordPress到最新版本

  一般来说,新版本的WordPress安全性都会比老版本要好一些,并且解决了已知的各种安全性问题,特别当遇到重大的版本升级时,新版本可能会解决更多的关键性问题。(例如老版本WordPress有remv.php重大漏洞,可能会导致遭受DDoS攻击,升级到最新2.7版本可解决这个问题)

  2、隐藏WordPress版本

  编辑你的header.php模板,将里面关于WordPress的版本信息都删除,这样黑客就无法通过查看源代码的防治得知你的WordPress有没有升级到最新版本。

  3、更改WordPress用户名

  每个黑客都知道WordPress的管理员用户是admin,具有管理员权限,会攻击这个用户,那么你需要创建一个新用户,将其设置为管理员权限,然后删除老的admin帐号,这就能避免黑客猜测管理员的用户名。

  4、更改WordPress用户密码

  安装好WordPress后,系统会发送一个随机密码到你的信箱,修改这个密码,因为这个密码的长度只有6个字符,你要将密码修改为10个字符以上的复杂密码,并尽量使用字母、数字、符号相混合的密码。

  5、防止WordPress目录显示

  WordPress会默认安装插件到/wp-content/plugins/目录下,通常情况下直接浏览这个目录会列出所有安装的插件名,这很糟糕,因为黑客可以利用已知插件的漏洞进行攻击,因此可以创建一个空的index.html文件放到这个目录下,当然,修改Apache的.htaccess文件也可以起到相同的作用。

  6、保护wp-admin文件夹

  你可以通过限定IP地址访问WordPress管理员文件夹来进行保护,所有其他IP地址访问都返回禁止访问的信息,不过你也只能从一两个地方进行博客管理。另外,你需要放一个新的.htaccess文件到wp-admin目录下,防止根目录下的.htaccess文件被替换。

  7、针对搜索引擎的保护

  很多WordPress系统文件不需要被搜索引擎索引,因此,修改你的robots.txt文件,增加一行Disallow: /wp-*

  8、安装Login Lockdown插件

  这个插件可以记录失败的登录尝试的IP地址和时间,如果来自某一个IP地址的这种失败登录超过一定条件,那么系统将禁止这一IP地址继续尝试登录。

  9、WordPress数据库安全

  数据表最好不要使用默认的wp_开头,安装数据库备份插件,无论做了多少保护,你还是应该定期备份你的数据库,使用WordPress Database Backup等插件可以实现数据库的定期备份。

  10、安装Wordpress Security Scan插件

  这个插件会自动按照以上的安全建议对你的WordPress进行扫描,查找存在的问题,使用较为简单。

  英文原文:Top Ten Wordpress Security Tips
  中文译文:十大WordPress安全设置技巧

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    lukeliu   说道:
    最近就打算用wordpress建个博客,月光的英文博客wordpress 主题不错,但主题链接访问不了。
    减肥药排行榜 于 2010-3-22 21:51:04 回复
    学习了
    减肥药排行榜 于 2010-3-22 21:52:49 回复
    博主是用的Z-blog嘛?
    支持(12反对(4回复
  1. 2
    sleven   说道:
    to housne:

    function remove_generator() {
    return '';
    }
    add_filter('the_generator', 'remove_generator');

    在主题functions.php文件里面加上这段就可以隐藏版本meta了。
    支持(14反对(6回复
  1. 3
    蓝天博客   说道:
    WP 2.7据说有很大漏洞。好在我还没有升级
    支持(14反对(8回复
  1. 4
    williamlong   说道:
    楼上你看懂文章没有,我说的是删除版本信息,防止黑客攻击,不是说删除版权信息,拜托你看懂了文章再发言好不。
    支持(9反对(3回复
  1. 5
    sunny   说道:
    先试试看!貌似都是好东西,
    支持(13反对(7回复
  1. 6
    快乐   说道:
    另外,你需要放一个新的.htaccess文件到wp-admin目录下,防止根目录下的.htaccess文件被替换。

    这句话什么意思??

    是说复制与根目录下的.htaccess同样的文件到wp-admin目录下??还是建立一个空的.htaccess文件在wp-admin目录下,或文件里写些什么??本人新手,请指点,谢谢!!!
    支持(8反对(4回复
  1. 7
    找个角落   说道:
    嗯,有用有用
    支持(6反对(3回复
  1. 8
    Mojo   说道:
    谢谢月光的解答~
    不过就第5点而言,应该加入的是Options All -Indexes
    支持(7反对(4回复
  1. 9
    kkk   说道:
    我的空间是自动备份的,不用安装数据库备份插件.
    支持(4反对(1回复
  1. 10
    曾庆华   说道:
    刚用上这个系统不长时间,刚好学习了!!
    支持(5反对(2回复
  1. 11
    乐者为王   说道:
    学习一下,虽然不用这系统
    支持(10反对(8回复
  1. 12
    Nothingblog   说道:
    很好呀。我学习了。
    支持(6反对(4回复
  1. 13
    睿智   说道:
    很有用的一篇文章
    支持(8反对(6回复
  1. 14
    beyondbird   说道:
    月光,能不能写一下十大Z-BLOG安全设置技巧?
    期待中......
    支持(4反对(3回复
  1. 15
    yujian   说道:
    很有用的文章啊
    支持(6反对(5回复
  1. 16
    crafts   说道:
    我的个人拨棵怎么没人呢
    支持(7反对(6回复
  1. 17
    aunsen   说道:
    很有用啊!代表WP的用户感谢月光了!
    支持(4反对(3回复
  1. 18
    哈哈   说道:
    不错。顶顶更健康
    支持(7反对(6回复
  1. 19
    图片   说道:
    能有时间看看我的网站吗,给点意见
    支持(7反对(6回复
  1. 20
    哈哈   说道:
    好!!!!!!!!!!!
    支持(2反对(1回复
  1. 21
    记录博客   说道:
    看来月光准备转wp了...
    支持(6反对(6回复
  1. 22
    williamlong   说道:
    加入类似 order deny,allow
    deny from 58.1.1.1 这样的IP地址即可。
    支持(4反对(4回复
  1. 23
    carina   说道:
    我不怀好心,想过来发小广告。。。后来发现你的博客介绍和我的一样,我决定不发了
    支持(7反对(7回复
  1. 24
    232   说道:
    学习用下。。。。。。。
    支持(5反对(5回复
  1. 25
    邵希杰   说道:
    看来要预防一下了,先去删除ADMIN
    支持(3反对(3回复
  1. 26
    小八   说道:
    学习了!!!
    谢谢博主!!
    支持(6反对(6回复
  1. 27
    卫子木   说道:
    不知道,这样做安全性到底好不好,顺便发下外联,小网站,龙哥别介意。岁月博客zhaibu—com看着你的站点成长的
    支持(3反对(3回复
  1. 28
    蓝天博客   说道:
    这个很实用。今天试用下。月光的这篇文章不错
    支持(5反对(6回复
  1. 29
    zylew   说道:
    月光,我顶你,使劲顶
    支持(5反对(6回复
  1. 30
    Mojo   说道:
    是刚刚查到的,看来.htaccess真的是很有用~
    支持(5反对(6回复
  1. 31
    技巧网   说道:
    有没有zlog相关安全设置
    支持(6反对(7回复
  1. 32
    山寨谷歌   说道:
    发现月光博客访问速度最近比较慢。
    支持(3反对(5回复
  1. 33
    Mojo   说道:
    谢谢月光这篇文章,很全面~
    但有个问题想问:
    请问第5点里,应该加什么样的语句到.htaccess文件中?
    支持(4反对(6回复
  1. 34
    喵小可   说道:
    我使用帝国备份王备份wordpress数据库,呵呵
    支持(5反对(7回复
  1. 35
    晨光博客   说道:
    准备有这个建一个自己的博客!
    支持(6反对(8回复
  1. 36
    seyeskcn   说道:
    楼主站点页面的颜色很好看啊,能告诉下吗 我也想改一下 谢谢了
    支持(5反对(7回复
  1. 37
    雪深   说道:
    好像我都做到了 还以为十大有多了不起 原来是标题×
    支持(4反对(7回复
  1. 38
    大菠萝   说道:
    你就这样注重版权的?你用别人东西给钱了吗?连个版权都要去掉,无语。。。。
    支持(2反对(5回复
  1. 39
    housne   说道:
    通过修改header.php 好像无法隐藏版本信息
    支持(3反对(7回复
  1. 40
    小懒猫   说道:
    WordPress插件为王
    支持(4反对(8回复
  1. WordPress原来有那么多技巧,学习了!
    支持(4反对(8回复
  1. 42
    会律   说道:
    先试试看!貌似都是好东西,
    支持(5反对(11回复
  1. 43
    wanghui   说道:
    看了这篇网站很好,有两个地方不明白,请指教:

    5、防止WordPress目录显示
    "修改Apache的.htaccess文件也可以起到相同的作用。"

    请问怎么修改?

    6、保护wp-admin文件夹
    “另外,你需要放一个新的.htaccess文件到wp-admin目录下,防止根目录下的.htaccess文件被替换。:

    请问“新的.htaccess文件”内容写什么?

    谢谢
    支持(3反对(10回复
  1. 44
    海纳百川博   说道:
    恩,不错....
    支持(7反对(17回复

发表留言