移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

若何将wordpress博客安然防护做到极致

时间:2013-10-17 11:07来源:TuZhiJiaMi企业信息安全专家 点击:
WordPress开初是一款小我博客系统,并慢慢演变成一款内容治理系统软件,它是利用PHP说话和MySQL数据库开辟的,用户可以在撑持PHP和MySQL数据库的办事器上利用本身的Blog。 用wordpress搭建好博客
Tags应用安全(1006)Wordpress(6)博客安全(1)  

  WordPress开初是一款小我博客系统,并慢慢演变成一款内容治理系统软件,它是利用PHP说话和MySQL数据库开辟的,用户可以在撑持PHP和MySQL数据库的办事器上利用本身的Blog。

  用wordpress搭建好博客今后需要做一些防护工作:

  1.选择安然靠得住的主机

  谨严选择一款安然靠得住的主机,不要利用免费主机和劣质主机。免费主机只适合用来进修法度和建站编制,可是倡萌一向不建议利用免费主机来托管正式上线的网站。当然了,最好也不要利用那些出格便宜,治理经验不足的主机商的办事。

  2.进级到WordPress最新版

  只从WordPress官方下载源码,不要到第三方网站下载。尽可能进级到WordPress最新版,及时修补法度缝隙,包含WordPress核心源码、WordPress主题和WordPress插件。

  3.利用官方WordPress主题和插件

  这里所说的官方,一是WordPress官方,二是主题或插件开辟者的官方,尽可能避免利用“破解”版主题、插件,慎用网上传播的本来是收费,可是被人歹意供给免费下载的主题、插件。

  4.点窜数据库默许前缀wp_

  良多伴侣安装WordPress都没有点窜数据库前缀,假定你筹算点窜默许的前缀wp_,请按照若何点窜WordPress数据库前缀来点窜。

  5.点窜默许的用户名admin

  WordPress3.*以上已撑持安装时自定义登录用户名,假定你利用默许的admin,建议你按照下面的编制进行点窜:

  编制一:后台新建一个用户,角色为治理员,然后利用新用户登录,删除默许的admin用户。

  编制二:登录phpmyAdmin,浏览当前数据库的wp_users数据表,将user_login和user_nicename点窜成新用户名。同时建议点窜“我的小我资料”中的的昵称,然后设置“公开显示为”非用户名的其他编制:

  6.利用高级暗码,常常改换暗码

  建议利用含大年夜写字母、小写字母、数字和其他符号的复杂暗码,好比nuH4j&*aHG%dMz,避免利用生日、手机号、QQ号等。

  7.隐躲WordPress版本信息

  默许环境下会在头部输出WordPress版本信息,你可以在主题的functions.php最后一个?>前面添加:

  //隐躲版本号

  functionwpbeginner_remove_version(){

  return'';

  }

  add_filter('the_generator','wpbeginner_remove_version');

  8.点窜wp-admin目次的拜候权限

  你可以经由过程限制IP地址拜候WordPress治理员文件夹来进行呵护,所有其他IP地址拜候都返回避免拜候的信息。别的,你需要放一个新的.htaccess文件到wp-admin目次下,避免根目次下的.htaccess文件被替代。

  9.按期备份网站数据

  可以借助WordPress备份插件进行主动备份或手动备份:WordPress数据库按时备份插件:WordPressDatabaseBacku

  利用WordPress自带导出导进功能备份和恢复网站

  WordPress克隆/备份/搬场插件:WPClone

  WordPress超强备份插件:BackWPup(撑持FTP/Email/本地/网盘)

  10.安装安然插件

  WordPressFirewall2该插件可以帮忙你辨认/禁止一些有效的报复打击,例如目次扫描、SQL注进、WP文件扫描、PHPEXE扫描等,并可将其定向到404或首页。假定有标题问题还可以经由过程电子邮件通知你措置,还可以禁止一些IP的拜候。

  BetterWPSecurity因为大年夜大都的WP网站存在插件缝隙、弱口令、过时的插件/法度,隐躲这些缝隙可以更好的呵护网站,例如呵护登录和治理区(节制面板?仪表盘?)。LoginLockdown这个插件可以记实掉败的登录测验测验的IP地址和时候,若是来自某一个IP地址的这类掉败登录超越必然前提,那么系统将避免这一IP地址继续测验测验登录。

  LimitLoginAttemptsLimitLoginAttempts限制登录测验测验的次数来避免暴力破解,加强WordPress的安然系数。

  WPSecurityScan该插件会主动遵循以上的安然建议对WordPress进行安然扫描,查找存在的标题问题。

  11.点窜WordPress后台登录地址

  将下面的代码添加到当前主题的functions.php文件:

  //呵护后台登录

  add_action('login_enqueue_scripts','login_protection');

  functionlogin_protection(){

  if($_GET['word']!='press')header('Location:http://www.malayke.org/');

  }如许一来,后台登录的独一地址就是http://yoursite/wp-login.php?word=press,假定不是这个地址,就会主动跳转到http://www.malayke.org/,不信你尝尝!你可以点窜第4行的Word、press和http://www.malayke.org/这三个参数。

  12.避免WordPress泄漏你的用户名

  你有没有想过,假定你的网站的登岸名被他人知道了,恰好他是一个比较精晓WordPress的人,并且会写脚本暴力破解,那么后果就不堪假想。实际上,Wordpress这么一个缝隙,至今仍然存在,并且常常会被黑客操纵

  想要知道WordPress的治理员用户名?很简单,只要在网站的域名后面加/?author=1就好了。

  假定/?author=1显示404界面,那很多是之前有过admin用户,后来站长发现用默许帐户admin太不服安了,就新建了一个治理员帐户,并删除admin帐户。这类环境下,用/?author=2就可以显示出用户名了。假定利用admin帐户,确切不服安,可是假定你的博客利用一个复杂的用户名,却经不起这么简单的一个URL的考验,这和利用admin帐户没有底子上的辨别。既然存在缝隙,那么就要往弥补它。要弥补这个缝隙,倒还真的不是甚么难事。我的思路就是,只要拜候主页url后头有author参数就让他跳到主页

  将下面的代码添加到当前主题的functions.php文件:

  add_filter('author_link','my_author_link');

  functionmy_author_link(){

  returnhome_url('/');

  }

  呵呵,大年夜家有没有发现这个思路上面点窜WordPress后台登录地址是一样的道理?

  至此,有了以上的防护工作,你辛辛苦苦搭建的wp博客就不会没那么等闲的被黑阔帮衬。

------分隔线----------------------------

推荐内容