你的WordPress博客安全吗?

日期: 标签:WordPress教程经验 88 条留言
如需帮忙改代码,或者WordPress二次开发、PHP网站建设等需求,可联系我购买付费服务:  点此联系我
  • 在浏览器中打开 http://你的WordPress安装地址/wp-admin/images/ ,看看有什么效果?
  • 在浏览器中打开 http://你的WordPress安装地址/wp-admin/ ,随意输入用户名和密码,看看你的博客允许你输错多少次?
  • 是不是任何人都可以打开你的WordPress后台登陆页面?
  • WordPress后台 – 用户,你的用户列表中是否包括 admin ?
  • 在你博客前台的某个地方是否可以找到你的WordPress后台的登录用户名?
  • wp-config.php 中,以下内容代码中的**部分是否已经包含安全码,或者仍是默认的提示语句?
    define('AUTH_KEY', '**');
    define('SECURE_AUTH_KEY', '**');
    define('LOGGED_IN_KEY', '**');
    define('NONCE_KEY', '**');
  • 你的博客空间有没有设置禁止盗链?
  • 你的博客是否经常备份,以确保出现意外能够第一时间恢复?
  • 是不是通过查看页面源代码就能够知道你的博客使用了哪些插件?
  • 是不是通过查看页面源代码就能知道你使用的WordPress版本?
  • 你是否给你的博客空间配置了监控,以确保你的博客挂掉了,你也能第一时间获得通知?
  • 你的WordPress和插件是否都是最新版?
  • 你的WordPress博客是否搭建于免费空间?
  • 别人是否可以轻易地知道你使用的博客空间商?
  • 别人是否可以轻易地知道你的博客空间月流量是多少?
  • 你的博客空间上是否放置了类似PHP探针的东西?
  • 你的博客页面能否看到这么一句话:Powered By : WordPress
  • 你的人品好不好?

-- 完 --

本文采用 「CC BY-NC-SA 4.0」创作共享协议,转载请标注以下信息:
原文出处:露兜博客 https://www.ludou.org/is-your-blog-safe.html
露兜
kaapass@outlook.com  QQ 825533758

业余编程爱好者,主业是淘宝店主,卖些工艺品,感兴趣可以到我的淘宝店看看(旺旺不提供技术咨询):西西弗sisyphe

88 条留言

点此留言
1 2 91
  1. tal-rasha

    请问怎么才能让 /wp-admin/images/ 转到404呢

  2. Ludou

    @tal-rasha 在images/目录下放置一个index.html或index.php

    index.html放置跳转到404的代码即可

  3. tal-rasha

    @Ludou 哦,这个明白了,那还有怎么才不能从源码中看出用了什么插件呢,从你这学到了不少东东,谢谢啦

  4. Ludou

    @tal-rasha 某些插件会在你的页面中插入一些代码或注释,如css/js的调用代码,例如你的博客源代码中<head>…</head>之间出现以下类似链接:
    http://www.tal-rasha.com/wp-content/plugins/….

    那我就起码知道你用了 audio-player、highslide4wp、WP-EasyArchives、 WP-RecentComments

  5. 配色

    很不错,谢谢分享

  6. 网页设计师

    不错不错 收藏了

  7. 桔子

    谢谢,学到不少。

  8. John

    唉,我的博客太不安全了!

  9. 洪大涛

    看了这篇日志,试了下Ludou 博客的/wp-admin/,为什么返回一个404页面呢?是怎么做到的?调换了登陆页名称?

  10. Ludou

    @洪大涛 我将它移到其他目录了

  11. 洪大涛

    @Ludou 移动登陆页面需要修改哪些文件?

  12. Ludou

    @洪大涛 上网搜索:
    wordpress 移动 子目录

  13. 洪大涛

    @Ludou ludou这样一说,我就大概猜出来用得是什么方法了。恩,已经找到入口了,多谢ludou兄。

  14. 洪大涛

    @洪大涛 对了,ludou兄这样做,是为了安全方面考虑么?

  15. Ludou

    @洪大涛 出于管理方便

  16. 嚯嚯

    @Ludou 博主,你得意忘形了哦!透露了安全信息。哈哈!

  17. IT不倒翁

    HAHA,是的,说的很有用的,但是我懒啊,懒得修改,呼呼

  18. IT不倒翁

    关于/wp-admin/images那个,我的直接就没有访问权限,我让他看。。。

  19. 夜泊枫桥

    找个好的空间商,上面很多问题都不是问题。

  20. Dawnson

    不错,要能给出一些解决方法更好。

  21. yesureadmin

    有什么办法让密码输入错误的次数有限制?你总结的挺好给个方法啊

  22. Ludou

    @yesureadmin 你可以看看这篇文章:
    https://www.ludou.org/wordpress-exp-2.html

  23. tony

    有没有修改的地方或者文章

  24. 漠北

    博主能帮忙推荐一个备份插件吗?以防出现意外可以恢复,谢谢

  25. Ludou

    @漠北 数据库备份插件:http://wordpress.org/extend/plugins/wp-db-backup/

  26. 漠北

    @Ludou 谢谢!我试试

  27. 漠北

    @Ludou 在设置里好像没看到恢复这个功能,是不是要在服务商提供的虚拟主机的后台那里恢复的?

  28. Ludou

    @漠北 该插件只提供数据库备份功能,如需恢复请到主机后台的phpmyadmin进行导入

  29. 新民智

    Powered By : WordPress
    这句没看懂,楼主的底部不也是这句吗?有安全影响?

  30. Ludou

    @新民智 见:
    https://www.ludou.org/is-your-blog-safe.html#comment-994

  31. ubercart中文应用

    安全问题是该提上日程

  32. 代码回音

    呵呵 我想看看那个网站可以检测

  33. monad

    LUDOU哥
    你说我把WP里面只要在浏览器列目录的文件夹全部加上了空的INDEX.HTML会不会有什么问题!

  34. Ludou

    @monad 是可行的,不过比较麻烦。如果是apache主机且支持 .htaccess ,可以在 .htaccess 中加入:
    Options -Indexes

  35. keygen

    我都是放空index.html

  36. 露兜粉

    露兜大大,请问根目录下的文件,比如wp-mail.php,怎么显示404的,要是这个文件没有,邮件通知还有效吗?

  37. Ludou

    @露兜粉 wp-mail.php主要用于电子邮件发布文章,具体见后台 – 设置 – 撰写

  38. 露兜粉

    露兜大大,不明白wp-config.php中**部分安全码指的是什么

  39. Ludou

    @露兜粉 一堆乱码。打开下面的网址:
    https://api.wordpress.org/secret-key/1.1/salt/

    把里面的内容复制,覆盖这部分内容即可

  40. 露兜粉

    @Ludou 感谢露兜大大

  41. Bluesking

    @Ludou LZ你好!
    wp-config.php中**部分安全码是直接替换已经安装好的WP里WP-CONFIG.PHP文件吗? 还是先替换再安装?

    搞得很糊涂

  42. Ludou

    @Bluesking 都可以。不过替换后,需要重新登录。
    你可以不定期更换这份内容。

  43. 托福课程

    我感觉wordpress系统还是蛮安全的,只要服务器没什么大的安全漏洞,就基本没有什么安全问题了。。

  44. ChiaS

    用过不少插件增强安全性,后来发现用处不大,个人的小站点黑客没有兴趣,徒增自己麻烦而已。
    修改文件又怕以后WordPress升级之后覆盖掉了又要重新改。
    现在主要靠主机自带的防护,不知道有没有太大的安全问题,谷歌站长工具也没提示有什么安全问题。

  45. 斯文败类

    今天才看到这篇文章,现在的新版本已经修复这个问题了

  46. 震龙

    谢谢分享

  47. 爱萌芽

    感谢,长知识了

1 2

发表留言