悬镜司 悬镜司
  • 注册
  • 登录
  • 首页
  • 源码
    • asp源码
    • php源码
    • java源码
    • 其它源码
  • 模板市场
    • thinkphp模板
    • 织梦模板
    • 帝国模板
    • wordpress模板
    • 苹果cms模板
    • discuz模板
    • 其它模板
  • 帮助文档
    • cms教程
      • destoon
      • 织梦cms
      • 帝国cms
      • wordpress
      • Discuz
      • 苹果cms
      • 其它教程
    • 编程技术
    • 前端设计
    • 推广运营
    • 服务器
      • windows服务器
      • linux服务器
      • unix服务器
    • 数据库
      • mysql数据库
      • SQLite
    • 移动端
      • wap
      • Android
      • IOS
    • 其它
  • 游戏
  • 站长那些事
  • 软件推荐
  • 公告
首页 › 帮助文档 › cms教程 › wordpress › 加固WordPress让网站运营更安全

加固WordPress让网站运营更安全

悬镜司
5月前wordpress
208 0 3
加固WordPress让网站运营更安全-悬镜司

wordpress一直很受大家欢迎,截止小编必稿之前官方统计wordpress5.5版本下载近千万,WordPress 本质上并没大家认为的那么危险,而且开发者也在努力工作,以确保危险漏洞能被快速修复。但不幸的是,WordPress 的成功使其成为众矢之的:如果你能攻破一个 WordPress 安装,那么可能会有数以千万计的网站向你 “开放”。而且即使 WordPress 是安全的,也并不是所有的主题和插件都会有同样级别的开发重视程度。
有些人攻击 WordPress 是为了挑战或造成恶意的损害,这些行为都很容易被发现。最糟糕的罪魁祸首是那种潜入内容的行为,它们会将钓鱼网站深入到文件夹结构,或使用你的服务器发送垃圾邮件。一旦你安装的 WordPress 被破解,可能需要删除所有内容并从头重新安装。
庆幸的是,有很多简单的方案来提升安全性。下面提到的安全修复方案都不会超过几分钟。

#切换到 HTTPS

HTTPS 可阻止第三方侦听或修改客户端和服务器之间通信的 中间人攻击。理想情况下,应该在安装 WordPress 前激活 HTTPS,如果在安装后再添加,可能需要更新 WordPress 设置。
HTTPS 还可以提升网站的 Goggle PageRank。诸如 SiteGround 这类网站托管服务提供商会提供免费的 SSL 证书。

#限制 MySQL 连接地址

确保你的 MySQL 数据库拒绝来自外部的人员和系统连接到本地服务器的行为。大多数受管理的 Web 主机默认情况下都会执行此操作,但那些使用专用服务器的主机可以将下面的代码添加到 MySQL my.cnf 配置文件的 [mysqld] 部分:
bind-address = 127.0.0.1

#使用强大的数据库凭据

在安装 WordPress 之前创建 MySQL 数据库时,建议使用强大的、随机生成的数据库用户 ID 和密码。在安装 WordPress 过程中使用一次凭据连接到数据库 — 你不需要记住它们。你还应该使用一个不同于默认值 wp_ 的表前缀。
用户 ID 和密码可以在安装后更改,但请记住相应地更新 WordPress 的 wp-config.php 配置文件。

#使用强大的管理员帐户凭据

同样地,在安装过程中创建的管理员账户也应使用强大的 ID 和密码。任何使用 ‘admin’ 作为 ID,‘password’ 作为密码的人都活该被黑客入侵。还应考虑到为日常编辑任务这些行为创建更少权限的账户。

#移动或保护 wp-config.php 配置文件

wp-config.php 包含了数据库访问凭据和其他一些对入侵系统有助的有用信息。大多数人都将其保留在主要的 WordPress 文件夹中,但可以将其移动到上层的文件夹。大多数情况下,该文件夹位于 Web 服务器根目录之外,而且无法通过 HTTP 请求进行访问。
或者,也可以通过配置 Web 服务器(如 Apache .htaccess 文件)来保护它:

order allow,deny
deny from all

#尽可能授予用户最低权限角色

用户是任何系统最弱的一点 — 特别是当他们可以选择使用自己的弱口令并将其传给任何问他们索要的人时。WordPress 提供了一系列的角色和功能。大多数情况下,用户应该是:
编辑:可以发布和管理自己和其他人的帖子的人
作者:可以发布和管理自己的帖子的人
贡献者:可以编写和管理自己的帖子但不能发布的人
这些角色都不能授权配置 WordPress 或安装插件的权限。

#限制 IP 地址访问

如果你有几个具有静态 IP 地址的编辑器,则可以通过向 wp-admin 文件夹添加另一个 .htaccess 文件来限制访问:

order deny, allow
allow from 1.2.3.4 # user 1 IP
allow from 5.6.7.8 # user 2 IP, etc
deny from all

#隐藏 WordPress 版本号

某些版本的 WordPress 存在已知的漏洞。任何人也都可以轻松发现你正在使用的版本,因为它显示在每个页面的 HTML 标签里面。通过在主题的 functions.php 文件中添加下面的代码来删除该信息:

remove_action('wp_head', 'wp_generator');

#理智选择第三方插件和主题

WordPress 的插件和主题拥有着用户梦寐以求的功能。但一个不好的插件会影响性能、泄露隐私数据或授予使用者另一种访问方式。除非绝对必要,否则最好避免安装代码。而且在进行在线安装时,还要注意验证插件的真实性并在本地服务器上进行测试。

#定期更新 WordPress 和插件

WordPress 会自动更新,但主要版本需要一键激活过程。当然,在备份数据库和文件之后再更新。同样地,记得定期检查主题和插件的更新。
风险规避应该在更新在线系统之前检测副本测试服务器上的更新。也就是说,WordPress 更新过程和向后兼容性很少引起问题。

wordpress wordpress安全 网站安全 网站运营
赞赏
如果感觉小编写的不错,打赏支持一下小编吧~
3
本文系作者 @悬镜司 原创发布在 悬镜司。未经许可,禁止转载。
wordpress网站访问慢的一些原因及优化
上一篇
WordPress调用相关文章代码
下一篇
评论 (0)

请登录以参与评论。

现在登录
  • #切换到 HTTPS
  • #限制 MySQL 连接地址
  • #使用强大的数据库凭据
  • #使用强大的管理员帐户凭据
  • #移动或保护 wp-config.php 配置文件
  • #尽可能授予用户最低权限角色
  • #限制 IP 地址访问
  • #隐藏 WordPress 版本号
  • #理智选择第三方插件和主题
  • #定期更新 WordPress 和插件
3
相关文章
如何将WordPress面包屑添加到您的网站主题
wordpress seo优化的一些建议
WordPress为什么是博客和企业最常用的网站之一?
wordpress主题响应式网页设计的注意事项
关于我们

悬镜司(www.xuanjingsi.com)为您提供php、小程序、app等各类程序源码搭建、二次开发、修改、维护服务,wordpress、苹果cms、dedecms、帝国cms主题模板定制,我们致力于打造一个优秀的建站资源下载学习平台。

专题推荐
宝塔面板 wordpress教程 wordpress模板 thinkphp dedecms Destoon 帝国cms wordpress插件
推荐栏目
php源码 java源码 wordpress dedecms 站长 服务器 游戏 thinkphp 数据库 推广运营 前端设计 编程技术 教程
Copyright © 2018-2021 悬镜司版权所有.由WordPress强力驱动. 苏ICP备18018208号-2 苏公网备案32131102000445号
  • 首页
  • 源码
    • asp源码
    • php源码
    • java源码
    • 其它源码
  • 模板市场
    • thinkphp模板
    • 织梦模板
    • 帝国模板
    • wordpress模板
    • 苹果cms模板
    • discuz模板
    • 其它模板
  • 帮助文档
    • cms教程
    • 编程技术
    • 前端设计
    • 推广运营
    • 服务器
    • 数据库
    • 移动端
    • 其它
  • 游戏
  • 站长那些事
  • 软件推荐
  • 公告
热门搜索
  • wordpress
  • wordpress主题
  • wordpress5.5
  • wordpress插件
  • linux面板
  • linux
  • 网站
  • 宝塔面板
  • php
  • 分类信息源码
  • dedecms
  • 网站地图
  • xml
  • wordpress安全
  • Web
  • 分类信息
  • 护卫神面板
  • SEO优化
悬镜司
悬镜司(www.xuanjingsi.com)为站长提供网站模板、源码资源,dedecms模板,discuz模板,wordpress模板,html5模板下载,我们致力于打造一个优秀的建站资源下载学习平台。
33 文章
2 评论
32 喜欢
  • 3
  • 0
  • Top
没有账号? 注册忘记密码?

社交账号快速登录

QQ登录 微信登录
获取邮箱验证码
已有账号? 登录

社交账号快速注册

QQ注册 微信注册