你的WordPress博客安全吗?
日期:
标签:WordPress教程,经验
如需帮忙改代码,或者WordPress二次开发、PHP网站建设等需求,可联系我购买付费服务: 点此联系我
- 在浏览器中打开
http://你的WordPress安装地址/wp-admin/images/,看看有什么效果? - 在浏览器中打开
http://你的WordPress安装地址/wp-admin/,随意输入用户名和密码,看看你的博客允许你输错多少次? - 是不是任何人都可以打开你的WordPress后台登陆页面?
- WordPress后台 – 用户,你的用户列表中是否包括 admin ?
- 在你博客前台的某个地方是否可以找到你的WordPress后台的登录用户名?
- wp-config.php 中,以下内容代码中的**部分是否已经包含安全码,或者仍是默认的提示语句?
define('AUTH_KEY', '**'); define('SECURE_AUTH_KEY', '**'); define('LOGGED_IN_KEY', '**'); define('NONCE_KEY', '**'); - 你的博客空间有没有设置禁止盗链?
- 你的博客是否经常备份,以确保出现意外能够第一时间恢复?
- 是不是通过查看页面源代码就能够知道你的博客使用了哪些插件?
- 是不是通过查看页面源代码就能知道你使用的WordPress版本?
- 你是否给你的博客空间配置了监控,以确保你的博客挂掉了,你也能第一时间获得通知?
- 你的WordPress和插件是否都是最新版?
- 你的WordPress博客是否搭建于免费空间?
- 别人是否可以轻易地知道你使用的博客空间商?
- 别人是否可以轻易地知道你的博客空间月流量是多少?
- 你的博客空间上是否放置了类似PHP探针的东西?
- 你的博客页面能否看到这么一句话:Powered By : WordPress
- 你的人品好不好?
-- 完 --
本文采用 「CC BY-NC-SA 4.0」创作共享协议,转载请标注以下信息:
原文出处:露兜即刻 https://www.ludou.org/is-your-blog-safe.html
请问怎么才能让 /wp-admin/images/ 转到404呢
@tal-rasha 在images/目录下放置一个index.html或index.php
index.html放置跳转到404的代码即可
@Ludou 哦,这个明白了,那还有怎么才不能从源码中看出用了什么插件呢,从你这学到了不少东东,谢谢啦
@tal-rasha 某些插件会在你的页面中插入一些代码或注释,如css/js的调用代码,例如你的博客源代码中<head>…</head>之间出现以下类似链接:
http://www.tal-rasha.com/wp-content/plugins/….
那我就起码知道你用了 audio-player、highslide4wp、WP-EasyArchives、 WP-RecentComments
很不错,谢谢分享
不错不错 收藏了
谢谢,学到不少。
唉,我的博客太不安全了!
看了这篇日志,试了下Ludou 博客的/wp-admin/,为什么返回一个404页面呢?是怎么做到的?调换了登陆页名称?
@洪大涛 我将它移到其他目录了
@Ludou 移动登陆页面需要修改哪些文件?
@洪大涛 上网搜索:
wordpress 移动 子目录
@Ludou ludou这样一说,我就大概猜出来用得是什么方法了。恩,已经找到入口了,多谢ludou兄。
@洪大涛 对了,ludou兄这样做,是为了安全方面考虑么?
@洪大涛 出于管理方便
@Ludou 博主,你得意忘形了哦!透露了安全信息。哈哈!
HAHA,是的,说的很有用的,但是我懒啊,懒得修改,呼呼
关于/wp-admin/images那个,我的直接就没有访问权限,我让他看。。。
找个好的空间商,上面很多问题都不是问题。
不错,要能给出一些解决方法更好。
有什么办法让密码输入错误的次数有限制?你总结的挺好给个方法啊
@yesureadmin 你可以看看这篇文章:
https://www.ludou.org/wordpress-exp-2.html
有没有修改的地方或者文章
博主能帮忙推荐一个备份插件吗?以防出现意外可以恢复,谢谢
@漠北 数据库备份插件:http://wordpress.org/extend/plugins/wp-db-backup/
@Ludou 谢谢!我试试
@Ludou 在设置里好像没看到恢复这个功能,是不是要在服务商提供的虚拟主机的后台那里恢复的?
@漠北 该插件只提供数据库备份功能,如需恢复请到主机后台的phpmyadmin进行导入
Powered By : WordPress
这句没看懂,楼主的底部不也是这句吗?有安全影响?
@新民智 见:
https://www.ludou.org/is-your-blog-safe.html#comment-994
安全问题是该提上日程
呵呵 我想看看那个网站可以检测
LUDOU哥
你说我把WP里面只要在浏览器列目录的文件夹全部加上了空的INDEX.HTML会不会有什么问题!
@monad 是可行的,不过比较麻烦。如果是apache主机且支持 .htaccess ,可以在 .htaccess 中加入:
Options -Indexes
我都是放空index.html
露兜大大,请问根目录下的文件,比如wp-mail.php,怎么显示404的,要是这个文件没有,邮件通知还有效吗?
@露兜粉 wp-mail.php主要用于电子邮件发布文章,具体见后台 – 设置 – 撰写
露兜大大,不明白wp-config.php中**部分安全码指的是什么
@露兜粉 一堆乱码。打开下面的网址:
https://api.wordpress.org/secret-key/1.1/salt/
把里面的内容复制,覆盖这部分内容即可
@Ludou 感谢露兜大大
@Ludou LZ你好!
wp-config.php中**部分安全码是直接替换已经安装好的WP里WP-CONFIG.PHP文件吗? 还是先替换再安装?
搞得很糊涂
@Bluesking 都可以。不过替换后,需要重新登录。
你可以不定期更换这份内容。
我感觉wordpress系统还是蛮安全的,只要服务器没什么大的安全漏洞,就基本没有什么安全问题了。。
用过不少插件增强安全性,后来发现用处不大,个人的小站点黑客没有兴趣,徒增自己麻烦而已。
修改文件又怕以后WordPress升级之后覆盖掉了又要重新改。
现在主要靠主机自带的防护,不知道有没有太大的安全问题,谷歌站长工具也没提示有什么安全问题。
今天才看到这篇文章,现在的新版本已经修复这个问题了
谢谢分享
感谢,长知识了