WordPress安全设置方案

Author&＃xff1a;做一个好人
WordPress作为享誉全球的博客程序&＃xff0c;已然被众多爱好者使用在自己的博客程序中&＃xff0c;但盛名必然引来注意&＃xff0c;更少不了不怀好意的骇客们的虎视眈眈。因此&＃xff0c;加固WP成为个人博客或企业博客安全防御的工作之一。
        IDF根据对本站的渗透测试结果以及对系统加固的经验&＃xff0c;结合网络上众多加固手段&＃xff0c;总结出以下WP安全配置方法&＃xff1a;
一、升级WordPress到最新版本
        一般来说&＃xff0c;新版本的WordPress安全性都会比老版本要好一些&＃xff0c;并且解决了已知的各种安全性问题&＃xff0c;特别当遇到重大的版本升级时&＃xff0c;新版本可能会解决更多的关键性问题。
二、隐藏WordPress版本
        编辑你的header.php模板&＃xff0c;将里面关于WordPress的版本信息都删除&＃xff0c;这样黑客就无法通过查看源代码的防治得知你的WordPress有没有升级到最新版本。值得注意的是&＃xff0c;跟目录下默认生成的readme.html亦可泄露版本信息&＃xff0c;记得删除它。
三、更改WordPress用户名
        每个黑客都知道WordPress的管理员用户是admin&＃xff0c;具有管理员权限&＃xff0c;会攻击这个用户&＃xff0c;那么你需要创建一个新用户&＃xff0c;将其设置为管理员权限&＃xff0c;然后删除老的admin帐号&＃xff0c;这就能避免黑客猜测管理员的用户名。
四、更改WordPress用户密码
        安装好WordPress后&＃xff0c;系统会发送一个随机密码到你的信箱&＃xff0c;修改这个密码&＃xff0c;因为这个密码的长度只有6个字符&＃xff0c;你要将密码修改为10个字符以上的复杂密码&＃xff0c;并尽量使用字母、数字、符号相混合的密码。
五、防止WordPress目录显示
        WordPress会默认安装插件到/wp-content/plugins/目录下&＃xff0c;通常情况下直接浏览这个目录会列出所有安装的插件名&＃xff0c;这很糟糕&＃xff0c;因为黑客可以利用已知插件的漏洞进行攻击&＃xff0c;因此可以创建一个空的index.html文件放到这个目录下&＃xff0c;当然&＃xff0c;修改Apache的.htaccess文件也可以起到相同的作用。
六、保护wp-admin文件夹
        你可以通过限定IP地址访问WordPress管理员文件夹来进行保护&＃xff0c;所有其他IP地址访问都返回禁止访问的信息&＃xff0c;不过你也只能从一两个地方进行博客管理。另外&＃xff0c;你需要放一个新的.htaccess文件到wp-admin目录下&＃xff0c;防止根目录下的.htaccess文件被替换。
七、针对搜索引擎的保护
        很多WordPress系统文件不需要被搜索引擎索引&＃xff0c;因此&＃xff0c;修改你的robots.txt文件&＃xff0c;增加一行Disallow: /wp-*
八、安装Login Lockdown插件
        这个插件可以记录失败的登录尝试的IP地址和时间&＃xff0c;如果来自某一个IP地址的这种失败登录超过一定条件&＃xff0c;那么系统将禁止这一IP地址继续尝试登录。
九、文件权限设置
        wordpress文件权限设置涉及到几个目录&＃xff1a;
        根目录 /&＃xff0c;/wp-admin/&＃xff0c;/wp-includes/ &＃xff1a;
        所有的文件应该设置为只有自己的用户帐号有写入权限&＃xff0c;其它的只设置有读权限。
        /wp-content/&＃xff1a;
        用户目录&＃xff0c;可以设置为所有用户可写。
        /wp-content/themes/&＃xff1a;
        主题目录&＃xff0c;如果你需要在后台使用主题编辑器&＃xff0c;需要设置为可写。
        /wp-content/plugins/ &＃xff1a;
        插件目录&＃xff0c;设置只有你的用户帐号可写。
        提示&＃xff1a;wordpress全站目录不需要可写都可以正常运行&＃xff0c;所以建议设置为全站不可写&＃xff0c;当需要自动升级&＃xff0c;安装主题或插件时&＃xff0c;可以临时设置为可写&＃xff0c;之后再关闭写入权限即可&＃xff0c;这是最安全的设置。
十、数据库安全
        如果服务器运行有多个网站&＃xff0c;并且用到mysql数据库&＃xff0c;建议为各个数据库指定一个低权限的用户。数据库用户需要的权限有:
        Alter,Delete,Create,Drop,Execute,Select,Update。
        具体添加mysql数据库的命令为&＃xff1a;
        如不需要远程连接&＃xff1a;
        grant Alter,Delete,Create,Drop,Execute,Select,Update on dbname . * to ‘username′&＃64;’localhost’ identified by ‘password’;
        如需要远程连接:
        grant Alter,Delete,Create,Drop,Execute,Select,Update on dbname . * to ‘username′&＃64;’client-ip’ identified by ‘password’;
十一、隐藏式安全
        1、隐藏wordpress版本
        隐藏wordpress版本号&＃xff0c;可以防止他人针对特定版本号寻找相应的漏洞&＃xff0c;从而进行入侵。隐藏版本号的方法是&＃xff0c;在当前主题目录下的 function.php文件中加入&＃xff1a;
        function wpt_remove_version()
        {
                return ”;
        }
        add_filter(‘the_generator’, ‘wpt_remove_version’);
        2、重命名管理者账号
        为了防止黑客暴力破解后台密码&＃xff0c;最好还是不要使用默认的admin帐号。修改默认帐号的方法可以通过mysql命令行执行命令:
        mysql> UPDATE wp_users SET user_login &＃61; ‘newuser’ WHERE user_login &＃61; ‘admin’;
        或者直接使用phpmyadmin可视化操作。
        3、更改 table_prefix&＃xff08;表名前缀&＃xff09;
        更改默认的表名前缀wp_可以防止sql注入攻击。
十二、数据备份
        不要指望把上面的设置完成就可以高枕无忧了&＃xff0c;我们还是必须保持对数据的备份&＃xff0c;以便数据丢失或黑客挂马时能迅速地恢复。
        安全无绝对&＃xff0c;加固亦无万全&＃xff0c;以上手段可平衡使用及安全&＃xff0c;但绝非万无一失的配置方案。在攻击与防御之间寻求平衡&＃xff0c;方是黑客之道&＃xff01;

本内容来源网络,www.jsjby.com