WordPress使用经验(二)安全建议

日期: 标签:WordPress教程经验 16 条留言
如需帮忙改代码,或者WordPress二次开发、PHP网站建设等需求,可联系我购买付费服务:  点此联系我
文章目录

一、设置一个安全的密码

虽然这已经是老生常谈了,但是还是建议给你的 WordPress 设置一个安全的密码,最好给WordPress设置一个单独的密码,即这个密码在别的地方还没有用过。

二、隐藏你的目录

假设你的博客地址是www.your.com ,默认情况下,如果访问这个网址www.your.com/wp-content/plugins,将会以列表的形式把plugins目录下的文件列出来,这样别人就轻而易举的知道你安装了哪些插件,黑客可能会利用这些插件的漏洞来攻击你的网站,那可不好!安全做法是在这个目录下放入一个空白的index.html。同样也可以在其他你不想让别人看到的目录中放置index.html,例如wp-content

三、使用Login Lockdown插件

如果别人不知道你的密码,他又想非法登录你的博客后台,那他一般会选择暴力破解你的密码,即一个一个地试,直到破译你的密码为止。使用Login Lockdown插件在一定程度上阻止别人测试你的密码,如果探测到一个 IP 段在一时间段内登录失败的次数超过了某一数目,就会自动锁定其登录功能,并禁止此 IP 段的使用者登入系统。这个登录失败的次数和限制登录的时间间隔等,都可以在你的后台设置。

四、及时备份你的博客

使用WordPress Database Backup插件可以很方便的备份你的博客数据库,可以选择两种方式备份:一、备份到你的网站空间的某个目录下;二、把备份文件发送到你的邮箱。我是把备份文件发送到我的邮箱,这样可以防止网站服务器挂了,备份也没了.

五、去除header.php中的版本信息

普通模板会在header.php中加入如下信息来显示使用中的WP版本,这样不良企图的人会根据版本来进行攻击。把下面的代码删除:

<meta name="generator" content="WordPress <?php bloginfo(‘version’); ?>" />

六、保护 wp-config.php 文件

将wp-config.php的权限设置为只读,这样一般别人就看不到了。另外你可以在.htaccess 文件中加入以下语句来防止其它人浏览到 wp-config.php 文件:

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

七、更改登录用户名,隐藏你的登录名

安装好WordPress 后,就应该立刻使用自己的用户名和密码创建另一个有管理员权限的用户,并将 "admin" 用户删除。WordPress 中有一个很好的方法,就是可以隐藏你的登录名。在"用户"设置中,你可以把你的"对外显示为"更改为你的昵称,这样在你发布文章的时候,给访客回复的时候,显示的就是你的昵称,而不是你的后台登录名。

-- 完 --

本文采用 「CC BY-NC-SA 4.0」创作共享协议,转载请标注以下信息:
原文出处:露兜博客 https://www.ludou.org/wordpress-exp-2.html
露兜
kaapass@outlook.com  QQ 825533758

业余编程爱好者,主业是淘宝店主,卖些工艺品,感兴趣可以到我的淘宝店看看(旺旺不提供技术咨询):西西弗sisyphe

16 条留言

点此留言
  1. vicky

    新手学习了~~很有用

  2. 心情短语

    灰常有用~!

  3. 付艳辉

    很好很受用,分享了~呵呵

  4. sealin

    看了你的博客,收获很大,以后常来,正准备做个自己用的主题,受益匪浅啊,谢谢博主

  5. 龙的传人

    博主的文章不多,但都是精品,难怪PR能上4~

  6. Dawnson

    其实那个改掉admin用户名,对外显示一个非真正用户名的名字,如果文章页里面包含有作者链接的话,就还是可以找到的。

  7. 果冻叔

    这个不错,我就怕被人黑啊。

  8. 风迷

    恩。不错,改天尝试下。

  9. zero123000

    学习了!自己的网站一定要做好安全堡垒呀

  10. 鼬

    Ludou,我的主题里没有<meta name="generator" content="WordPress <?php bloginfo(‘version’); ?>" />这段代码,

    但是查看源代码还是有版本信息<meta name="generator" content="WordPress 3.4.2" />,是被<?php wp_head(); ?>这个函数调用出来的,怎么才可以取消这个版本信息,谢谢指教。

    • 鼬

      @ 我知道如何修改了,刚刚在这个帖子学会了https://www.ludou.org/improve-wordpress-themes-tips.html

      不麻烦Ludou你了,谢谢。

  11. 这两天

    虽然没按照这个来做,但对以后是有参考的。

  12. Eden_Chen

    我的站点是这种情况的页头,你感觉它会是安全的?很感谢的你,

  13. 5467hai

    还没有自己的wp网站 但先学习 很有用

  14. diamond saw blade

    我还是一个新手,目前的站只是纯粹的静态页面,所以想学习一些cms管理系统,对网站进行统一管理。正在学习 WordPress中, 谢谢。

发表留言