WordPress使用经验(二)安全建议
一、设置一个安全的密码
虽然这已经是老生常谈了,但是还是建议给你的 WordPress 设置一个安全的密码,最好给WordPress设置一个单独的密码,即这个密码在别的地方还没有用过。
二、隐藏你的目录
假设你的博客地址是www.your.com ,默认情况下,如果访问这个网址www.your.com/wp-content/plugins,将会以列表的形式把plugins目录下的文件列出来,这样别人就轻而易举的知道你安装了哪些插件,黑客可能会利用这些插件的漏洞来攻击你的网站,那可不好!安全做法是在这个目录下放入一个空白的index.html。同样也可以在其他你不想让别人看到的目录中放置index.html,例如wp-content
三、使用Login Lockdown插件
如果别人不知道你的密码,他又想非法登录你的博客后台,那他一般会选择暴力破解你的密码,即一个一个地试,直到破译你的密码为止。使用Login Lockdown插件在一定程度上阻止别人测试你的密码,如果探测到一个 IP 段在一时间段内登录失败的次数超过了某一数目,就会自动锁定其登录功能,并禁止此 IP 段的使用者登入系统。这个登录失败的次数和限制登录的时间间隔等,都可以在你的后台设置。
四、及时备份你的博客
使用WordPress Database Backup插件可以很方便的备份你的博客数据库,可以选择两种方式备份:一、备份到你的网站空间的某个目录下;二、把备份文件发送到你的邮箱。我是把备份文件发送到我的邮箱,这样可以防止网站服务器挂了,备份也没了.
五、去除header.php中的版本信息
普通模板会在header.php中加入如下信息来显示使用中的WP版本,这样不良企图的人会根据版本来进行攻击。把下面的代码删除:
<meta name="generator" content="WordPress <?php bloginfo(‘version’); ?>" />六、保护 wp-config.php 文件
将wp-config.php的权限设置为只读,这样一般别人就看不到了。另外你可以在.htaccess 文件中加入以下语句来防止其它人浏览到 wp-config.php 文件:
# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>七、更改登录用户名,隐藏你的登录名
安装好WordPress 后,就应该立刻使用自己的用户名和密码创建另一个有管理员权限的用户,并将 "admin" 用户删除。WordPress 中有一个很好的方法,就是可以隐藏你的登录名。在"用户"设置中,你可以把你的"对外显示为"更改为你的昵称,这样在你发布文章的时候,给访客回复的时候,显示的就是你的昵称,而不是你的后台登录名。
-- 完 --
本文采用 「CC BY-NC-SA 4.0」创作共享协议,转载请标注以下信息:
原文出处:露兜即刻 https://www.ludou.org/wordpress-exp-2.html
新手学习了~~很有用
灰常有用~!
很好很受用,分享了~呵呵
看了你的博客,收获很大,以后常来,正准备做个自己用的主题,受益匪浅啊,谢谢博主
博主的文章不多,但都是精品,难怪PR能上4~
其实那个改掉admin用户名,对外显示一个非真正用户名的名字,如果文章页里面包含有作者链接的话,就还是可以找到的。
这个不错,我就怕被人黑啊。
恩。不错,改天尝试下。
学习了!自己的网站一定要做好安全堡垒呀
Ludou,我的主题里没有<meta name="generator" content="WordPress <?php bloginfo(‘version’); ?>" />这段代码,
但是查看源代码还是有版本信息<meta name="generator" content="WordPress 3.4.2" />,是被<?php wp_head(); ?>这个函数调用出来的,怎么才可以取消这个版本信息,谢谢指教。
@鼬 我知道如何修改了,刚刚在这个帖子学会了https://www.ludou.org/improve-wordpress-themes-tips.html
不麻烦Ludou你了,谢谢。
虽然没按照这个来做,但对以后是有参考的。
我的站点是这种情况的页头,你感觉它会是安全的?很感谢的你,
@Eden_Chen 没有任何问题
还没有自己的wp网站 但先学习 很有用
我还是一个新手,目前的站只是纯粹的静态页面,所以想学习一些cms管理系统,对网站进行统一管理。正在学习 WordPress中, 谢谢。