怎么做好wordpress博客的安全防護(hù)

時(shí)間：2016-03-24 16:33:13 權(quán)威724由分享

　　在互聯(lián)網(wǎng)時(shí)代里面，網(wǎng)絡(luò)安全防護(hù)很重，那么你知道怎么做好wordpress博客的安全防護(hù)嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于怎么做好wordpress博客的安全防護(hù)的相關(guān)資料，供你參考。

　　做好wordpress博客的安全防護(hù)的方法：

　　1.選擇安全可靠的主機(jī)

　　謹(jǐn)慎選擇一款安全可靠的主機(jī)，不要使用免費(fèi)主機(jī)和劣質(zhì)主機(jī)。免費(fèi)主機(jī)只適合用來(lái)學(xué)習(xí)程序和建站方法，但是倡萌一直不建議使用免費(fèi)主機(jī)來(lái)托管正式上線的網(wǎng)站。當(dāng)然了，最好也不要使用那些特別廉價(jià)，管理經(jīng)驗(yàn)不足的主機(jī)商的服務(wù)。

　　2.升級(jí)到WordPress最新版

　　只從WordPress官方下載源碼，不要到第三方網(wǎng)站下載。盡可能升級(jí)到WordPress最新版，及時(shí)修補(bǔ)程序漏洞，包括WordPress核心源碼、WordPress主題以及WordPress插件。

　　3.使用官方WordPress主題和插件

　　這里所說(shuō)的官方，一是WordPress官方，二是主題或插件開(kāi)發(fā)者的官方，盡量避免使用“破解”版主題、插件，慎用網(wǎng)上傳播的原本是收費(fèi)，但是被人惡意提供免費(fèi)下載的主題、插件。

　　4.修改數(shù)據(jù)庫(kù)默認(rèn)前綴 wp_

　　很多朋友安裝WordPress都沒(méi)有修改數(shù)據(jù)庫(kù)前綴，如果你打算修改默認(rèn)的前綴 wp_ ，請(qǐng)根據(jù) 如何修改 WordPress 數(shù)據(jù)庫(kù)前綴來(lái)修改。

　　5.修改默認(rèn)的用戶名 admin

　　WordPress 3.* 以上已經(jīng)支持安裝時(shí)自定義登錄用戶名，如果你使用默認(rèn)的admin，建議你根據(jù)下面的方法進(jìn)行修改：

　　方法一：后臺(tái)新建一個(gè)用戶，角色為管理員，然后使用新用戶登錄，刪除默認(rèn)的 admin 用戶。

　　方法二：登錄phpmyAdmin，瀏覽當(dāng)前數(shù)據(jù)庫(kù)的 wp_users 數(shù)據(jù)表，將 user_login 和 user_nicename 修改為新用戶名。

　　同時(shí)建議修改 “我的個(gè)人資料”中的的昵稱，然后設(shè)置“公開(kāi)顯示為”非用戶名的其他方式：

　　6.使用高級(jí)密碼，經(jīng)常更換密碼

　　建議使用含大寫(xiě)字母、小寫(xiě)字母、數(shù)字和其他符號(hào) 的復(fù)雜密碼，比如 nuH4j&*aHG%dMz ，避免使用生日、手機(jī)號(hào)、QQ號(hào)等。

　　7.隱藏WordPress版本信息

　　默認(rèn)情況下會(huì)在頭部輸出WordPress版本信息，你可以在主題的 functions.php 最后一個(gè) ?> 前面添加：

　　//隱藏版本號(hào)

　　function wpbeginner_remove_version() {

　　return '';

　　}

　　add_filter('the_generator','wpbeginner_remove_version');

　　8.修改wp-admin目錄的訪問(wèn)權(quán)限

　　你可以通過(guò)限定IP地址訪問(wèn)WordPress管理員文件夾來(lái)進(jìn)行保護(hù)，所有其他IP地址訪問(wèn)都返回禁止訪問(wèn)的信息。另外，你需要放一個(gè)新的.htacc ess文件到wp-admin目錄下，防止根目錄下的.htaccess文件被替換。

　　9.定期備份網(wǎng)站數(shù)據(jù)

　　可以借助WordPress備份插件進(jìn)行自動(dòng)備份或手動(dòng)備份：

　　WordPress數(shù)據(jù)庫(kù)定時(shí)備份插件：WordPress Database Backup

　　使用WordPress自帶導(dǎo)出導(dǎo)入功能備份和恢復(fù)網(wǎng)站

　　WordPress克隆/備份/搬家插件：WP Clone

　　WordPress超強(qiáng)備份插件：BackWPup(支持FTP/Email/本地/網(wǎng)盤(pán))

　　10.安裝安全插件

　　WordPress Firewall 2

　　該插件可以幫助你識(shí)別/阻止一些有效的攻擊，例如目錄掃描、SQL注入、WP文件掃描、PHP EXE掃描等，并可將其定向到404或者首頁(yè)。如果有問(wèn)題還可以通過(guò)電子郵件通知你處理，還可以阻止一些IP的訪問(wèn)。

　　Better WP Security

　　由于大多數(shù)的WP網(wǎng)站存在插件漏洞、弱口令、過(guò)時(shí)的插件/程序，隱藏這些漏洞可以更好的保護(hù)網(wǎng)站，例如保護(hù)登錄和管理區(qū)(控制面板?儀表盤(pán)?)。

　　這個(gè)插件可以記錄失敗的登錄嘗試的IP地址和時(shí)間，若是來(lái)自某一個(gè)IP地址的這種失敗登錄超過(guò)一定條件，那么系統(tǒng)將禁止這一IP地址繼續(xù)嘗試登錄。

　　Limit Login Attempts

　　Limit Login Attempts 限制登錄嘗試的次數(shù)來(lái)防止暴力破解，增強(qiáng) WordPress 的安全系數(shù)。

　　WP Security Scan

　　該插件會(huì)自動(dòng)按照以上的安全建議對(duì)WordPress進(jìn)行安全掃描，查找存在的問(wèn)題。

　　11.修改WordPress后臺(tái)登錄地址，提高安全性

　　將下面的代碼添加到當(dāng)前主題的 functions.php 文件：

　　//保護(hù)后臺(tái)登錄

　　add_action('login_enqueue_scripts','login_protection');

　　function login_protection(){

　　if($_GET['word'] !='press')header('Location: http://www.malayke.org/');

　　}

　　這樣一來(lái)，后臺(tái)登錄的唯一地址就是 http://yoursite/wp-login.php?word=press，如果不是這個(gè)地址，就會(huì)自動(dòng)跳轉(zhuǎn)到 http://www.malayke.org/ ，不信你試試!

　　你可以修改第 4 行的 Word、press 和 http://www.malayke.org/ 這三個(gè)參數(shù)。

　　12.避免WordPress泄露你的用戶名

　　你有沒(méi)有想過(guò)，如果你的網(wǎng)站的登陸名被別人知道了，偏偏他是一個(gè)比較精通 WordPress 的人，而且會(huì)寫(xiě)腳本暴力破解，那么后果就不堪設(shè)想。

　　實(shí)際上，Wordpress 這么一個(gè)漏洞，至今依然存在，并且常常會(huì)被黑客利用

　　想要知道 WordPress 的管理員用戶名?很簡(jiǎn)單，只要在網(wǎng)站的域名后面加 /?author=1 就行了。

　　如果 /?author=1 顯示404界面，那很可能是以前有過(guò) admin 用戶，后來(lái)站長(zhǎng)發(fā)現(xiàn)用默認(rèn)帳戶 admin 太不安全了，就新建了一個(gè)管理員帳戶，并刪除了 admin 帳戶。這種情況下，用 /?author=2 就能顯示出用戶名了。

　　如果使用 admin 帳戶，確實(shí)不安全，但是如果你的博客使用一個(gè)復(fù)雜的用戶名，卻經(jīng)不起這么簡(jiǎn)單的一個(gè) URL 的考驗(yàn)，這和使用 admin 帳戶沒(méi)有根本上的區(qū)別。

　　既然存在漏洞，那么就要去填補(bǔ)它。要填補(bǔ)這個(gè)漏洞，倒還真的不是什么難事。

　　我的思路就是，只要訪問(wèn)主頁(yè)url后頭有author參數(shù)就讓他跳到主頁(yè)

　　將下面的代碼添加到當(dāng)前主題的 functions.php 文件：

　　add_filter('author_link','my_author_link' );

　　function my_author_link() {

　　return home_url('/' );

　　}

　　看過(guò)文章“怎么做好wordpress博客的安全防護(hù)”的人還看了：

　　1.如何保護(hù)內(nèi)網(wǎng)安全

　　2.如何保護(hù)路由器安全

　　3.教你如何保護(hù)電子郵箱賬安全