如何【hé】提高WordPress站点安全,是我们每个WordPress用【yòng】户【hù】需要重视的问【wèn】题。网站安全【quán】涉及【jí】主【zhǔ】机服务器和WordPress源【yuán】码等【děng】方面,高【gāo】洁结合自己的一些【xiē】经验,好好总结了这方【fāng】面的一些【xiē】建议,希望【wàng】能给大家一点帮助。
1.选择安全可靠的主机
谨【jǐn】慎选择一款安全可靠【kào】的主机【jī】,不要使用免费主机和劣【liè】质主机。免费主【zhǔ】机【jī】只适合用来学【xué】习程序和建【jiàn】站方法【fǎ】,但【dàn】是倡【chàng】萌【méng】一直不建议使【shǐ】用免【miǎn】费主机来托管正式上线【xiàn】的网站。当然了,最好也不要使用【yòng】那些特别廉价,管理经验【yàn】不足的【de】主机商的【de】服务。
2.升级到WordPress最新版
只从WordPress官【guān】方【fāng】下载源码【mǎ】,不要到第三方网站下载【zǎi】。尽可【kě】能升级到【dào】WordPress最新【xīn】版,及时修补【bǔ】程序漏洞,包括WordPress核心【xīn】源码、WordPress主题以及WordPress插件。
3.使用官方WordPress主题和插件
这里所【suǒ】说的【de】官【guān】方【fāng】,一是WordPress官方【fāng】,二是主题或插件开发者的官方,尽量避免使用“破解”版主【zhǔ】题、插【chā】件,慎【shèn】用网上传播的【de】原本【běn】是收费【fèi】,但是被人恶意提供免费下【xià】载的主题、插件。
4.修改数据库默认前缀 wp_
很多朋友安装【zhuāng】WordPress都没有修改数据【jù】库前【qián】缀,如果你打【dǎ】算修改默认的前缀 wp_ ,请【qǐng】根【gēn】据 如何修改 WordPress 数据库前【qián】缀 来修改【gǎi】。
5.使用高级密码,经常更换密码
建议使用含 大写字母、小写【xiě】字母、数字和其【qí】他符【fú】号 的复杂密码【mǎ】,比如 nuH4j&*aHG%dMz ,避免使用生日、手机号、QQ号等【děng】。
6.隐藏WordPress版本信息
默【mò】认情【qíng】况下【xià】会在【zài】头部输出WordPress版本信息,你可以在主题的 functions.php 最后一【yī】个 ?> 前面添【tiān】加【jiā】:
7.修改wp-admin目录的访问权限
你可以【yǐ】通【tōng】过限定IP地址【zhǐ】访问WordPress管理员文件夹来进行保护,所有其他IP地址访问都返【fǎn】回禁止访问【wèn】的【de】信【xìn】息【xī】。另外,你需要放一个新的.htaccess文【wén】件【jiàn】到【dào】wp-admin目录【lù】下,防止根目录下的.htaccess文【wén】件【jiàn】被替换。
8.定期备份网站数据
可以借助WordPress备份插件进行自动备份或手动备份:
WordPress数据库定【dìng】时备【bèi】份插件:WordPress Database Backup
使用WordPress自带导出导入功能备份和恢复网站
WordPress克隆/备份/搬家插件:WP Clone
WordPress超【chāo】强备份【fèn】插件:BackWPup(支持FTP/Email/本地/网盘【pán】)
腾讯云COS云对象存储定时远程备份网站
9.安装安全插件
一:WordPress Firewall 2
该插件可以帮助【zhù】你识【shí】别【bié】/阻止【zhǐ】一【yī】些有效的攻击,例【lì】如 目录扫描、SQL注入【rù】、WP文【wén】件扫描【miáo】、PHP EXE扫【sǎo】描 等,并可将其定向到404或者首页。如果【guǒ】有问题还可以通过电子邮件通【tōng】知你处理【lǐ】,还可以阻止一些【xiē】IP的访问【wèn】。
二:Better WP Security
由【yóu】于【yú】大多【duō】数的WP网站存在插件漏洞、弱口令、过时的插件/程序,隐藏这些漏洞可以更好的保【bǎo】护网【wǎng】站,例【lì】如保护登录和管理区(控制面【miàn】板【bǎn】?仪表【biǎo】盘【pán】?)。
三:Login Lockdown
这个插件【jiàn】可以记录失败的登录尝试【shì】的IP地址和时间【jiān】,若是【shì】来自某【mǒu】一个IP地址【zhǐ】的【de】这种【zhǒng】失败【bài】登录超过一定条【tiáo】件,那么系统将禁【jìn】止这一IP地址继续尝试登录。
四:Limit Login Attempts
Limit Login Attempts 限制登录尝试【shì】的次数来【lái】防【fáng】止【zhǐ】暴【bào】力破解,增强 WordPress 的安全系数。
五:WP Security Scan
该插件会自【zì】动【dòng】按照以上【shàng】的安全建议对WordPress进【jìn】行安全扫描,查找【zhǎo】存在的问题。
版权所有:深圳市网商在线科技有限公司