如何提高WordPress站點安全,是我們每個WordPress用戶需要重視的問題。網(wǎng)站安全涉及主機服務(wù)器和WordPress源碼等方面,倡萌結(jié)合自己的一些經(jīng)驗,好好總結(jié)了這方面的一些建議,希望能給大家一點幫助。
1.選擇安全可靠的主機
謹(jǐn)慎選擇一款安全可靠的主機,不要使用免費主機和劣質(zhì)主機。免費主機只適合用來學(xué)習(xí)程序和建站方法,但是倡萌一直不建議使用免費主機來托管正式上線的網(wǎng)站。當(dāng)然了,最好也不要使用那些特別廉價,管理經(jīng)驗不足的主機商的服務(wù)。
2.升級到WordPress最新版
只從WordPress官方下載源碼,不要到第三方網(wǎng)站下載。盡可能升級到WordPress最新版,及時修補程序漏洞,包括WordPress核心源碼、WordPress主題以及WordPress插件。
3.使用官方WordPress主題和插件
這里所說的官方,一是WordPress官方,二是主題或插件開發(fā)者的官方,盡量避免使用“破解”版主題、插件,慎用網(wǎng)上傳播的原本是收費,但是被人惡意提供免費下載的主題、插件。
4.修改數(shù)據(jù)庫默認(rèn)前綴 wp_
很多朋友安裝WordPress都沒有修改數(shù)據(jù)庫前綴,如果你打算修改默認(rèn)的前綴 wp_ ,請根據(jù) 如何修改 WordPress 數(shù)據(jù)庫前綴 來修改。
5.修改默認(rèn)的用戶名 admin
WordPress 3.* 以上已經(jīng)支持安裝時自定義登錄用戶名,如果你使用默認(rèn)的admin,建議你根據(jù)下面的方法進(jìn)行修改:
方法一:后臺新建一個用戶,角色為管理員,然后使用新用戶登錄,刪除默認(rèn)的 admin 用戶。
方法二:登錄phpmyAdmin,瀏覽當(dāng)前數(shù)據(jù)庫的 wp_users 數(shù)據(jù)表,將 user_login 和 user_nicename 修改為新用戶名。
同時建議修改 “我的個人資料”中的的昵稱,然后設(shè)置“公開顯示為”非用戶名的其他方式:
6.使用高級密碼,經(jīng)常更換密碼
建議使用含 大寫字母、小寫字母、數(shù)字和其他符號 的復(fù)雜密碼,比如 nuH4j&*aHG%dMz ,避免使用生日、手機號、QQ號等。
7.隱藏WordPress版本信息
默認(rèn)情況下會在頭部輸出WordPress版本信息,你可以在主題的 functions.php 最后一個 ?> 前面添加:
//隱藏版本號
function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');
8.修改wp-admin目錄的訪問權(quán)限
你可以通過限定IP地址訪問WordPress管理員文件夾來進(jìn)行保護(hù),所有其他IP地址訪問都返回禁止訪問的信息。另外,你需要放一個新的.htaccess文件到wp-admin目錄下,防止根目錄下的.htaccess文件被替換。
9.定期備份網(wǎng)站數(shù)據(jù)
可以借助WordPress備份插件進(jìn)行自動備份或手動備份:
WordPress數(shù)據(jù)庫定時備份插件:WordPress Database Backup
使用WordPress自帶導(dǎo)出導(dǎo)入功能備份和恢復(fù)網(wǎng)站
WordPress超強備份插件:BackWPup(支持FTP/Email/本地/網(wǎng)盤)
10.安裝安全插件
該插件可以幫助你識別/阻止一些有效的攻擊,例如 目錄掃描、SQL注入、WP文件掃描、PHP EXE掃描 等,并可將其定向到404或者首頁。如果有問題還可以通過電子郵件通知你處理,還可以阻止一些IP的訪問。
由于大多數(shù)的WP網(wǎng)站存在插件漏洞、弱口令、過時的插件/程序,隱藏這些漏洞可以更好的保護(hù)網(wǎng)站,例如保護(hù)登錄和管理區(qū)(控制面板?儀表盤?)。
這個插件可以記錄失敗的登錄嘗試的IP地址和時間,若是來自某一個IP地址的這種失敗登錄超過一定條件,那么系統(tǒng)將禁止這一IP地址繼續(xù)嘗試登錄。
Limit Login Attempts 限制登錄嘗試的次數(shù)來防止暴力破解,增強 WordPress 的安全系數(shù)。
該插件會自動按照以上的安全建議對WordPress進(jìn)行安全掃描,查找存在的問題。
相關(guān)閱讀:WordPress站點被掛馬?如何預(yù)防、檢測和應(yīng)對?
這個好,正想試用,這里可以學(xué)習(xí)很多知識。
我的網(wǎng)站后臺總是出現(xiàn)很多垃圾文章怎么辦
沒有遇到過之類問題,建議你按照以下操作:
1、檢查后臺是否多了很多不明用戶,如果有,刪除他們;并且修改你的密碼為超強的密碼
2、是否開放了注冊功能,如果是,關(guān)閉一段時間看看是否還有垃圾文章
3、是否使用了來路不明的主題和插件,如果是,刪除掉試試
4、是否開啟了匿名投稿之類的功能,如果是,禁用掉看看,或者添加驗證碼機制
5、如果還是找不到原因,不排除網(wǎng)站被黑,可以找人幫你找原因
倡萌,你好。請問我的后臺地址直接被搜索引擎索引了,怎么辦?不僅登錄頁面被索引,連忘記密碼那個頁面都被索引了。網(wǎng)上找了很久也沒有找到切實可行的辦法,而且我害怕就算修改了前綴依然會被索引。希望能得到你的幫助,謝謝!
去學(xué)習(xí)一下https://baike.baidu.com/item/robots%E5%8D%8F%E8%AE%AE/2483797
我知道robots協(xié)議可以禁止抓取頁面,但是這個也間接暴露了后臺地址了的嘛。任何人都可以查詢robots
那你可以在服務(wù)器配置文件中,禁止蜘蛛訪問和收錄后臺網(wǎng)址
我補充一個 https://www.hostmama.cc/post/wordpress-security
為什么不可以收藏
更換主題后,已經(jīng)去掉收藏功能,后面有時間再補回來
你是不是用的cmhello登錄名
我也喜歡上了這個地方,文章簡單但很實用
倡萌啊,你文章右上角的“本文索引”是如何用什么實現(xiàn)的
這個不錯,最好把默認(rèn)的wp-admin管理路徑改一下,成自定義的,這樣就可以給黑客多一道楷,連后臺后找不到。
如果有最忠實讀者獎,一定是頒給你的。不過我比較好奇,為什么每次我剛發(fā)布,你就能第一時間過來?
其實我沒事就來回逛,逛到這里了,而且倡萌的文章非常有規(guī)律,一般都是8、9點,而每天我差不多能在不同的時間到你這里逛5、6次
原來如此,不過我關(guān)注的網(wǎng)站比較多,一般都是訂閱的,所以很少這樣逛
哈哈,忠實啊,冰果qq多少,交流一下呢