芒果小站

  1. 全球最具业界良心的主机 - DigitalOcean

    毫无疑问,目前做得最好的主机供应商

    猛击这里查看

  2. 芒果小站目前使用的主机 - DigitalOcean

    客服响应快,随时退款,XEN 架构稳定

    猛击这里查看

  3. 最好的日本东京线路主机 - DigitalOcean

    可选弗里蒙特、达拉斯、亚特兰大、纽瓦克、伦敦、东京机房

    猛击这里查看

  • 1
  • 2
  • 3
切换到精简模式
7

3 个必须的 WordPress 安全技巧

作者 芒果/分类 教程/发布于 2009-06-23 10:45

保证 WordPress 的安全性是非常有必要的,以下是翻译整理自国外的 3 个 WordPress 安全技巧。

1. 确保 /wp-admin/ 目录的安全

很明显,管理目录 /wp-admin/ 存放了大量重要文件。WordPress 默认情况下并未对此目录设定访问限制,这也许会成为不法访客的后门。

据此,不妨建立一个 .htaccess 文件来阻止非特定 IP 地址对该目录的访问。以下是该 .htaccess 中应该添加的代码:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
</LIMIT>

其中 xx.xx.xx.xx 为放行的 IP 地址。当然如果 IP 地址经常改变,也可以使用一款登录尝试限制插件,芒果在 Limit Login Attempts,登录尝试限制插件一文中已经做过介绍,可以详细参考。

2. 隐藏插件目录

由 WordPress 插件所带来的错误和漏洞,可能被利用来侵害你的网站。

因主机而异,有些时候直接访问 /wp-content/plugins/ 会暴露目录文件。为了掩盖这一现象,只需在此目录放置一个空白的 index.html 文件,其他目录也是一样的道理。WordPress 2.8 版本中默认已自带 index.php 空白文件。

3. 及时安装补丁和更新

为了博客安全运行,需要及时使程序保持最新。建议订阅 WordPress 开发博客 以获得相关的信息。

另外,去除源代码中的 WordPress 版本标识能防止程序版本的泄露,可以在 header.php 文件中用以下代码移除:

<?php remove_action('wp_head', 'wp_generator'); ?>

总之,小心驶得万年船,平时多注意安全防护,才能有效免除入侵挂马的烦扰。

英文原稿:3 Must Apply Security Tips for WordPress | DailyBlogTips
翻译整理:3 个必须的 WordPress 安全技巧 | 芒果

版权所有,转载请注明出处。
转载自 <a href="http://mangguo.org/3-necessary-wordpress-security-tip/" title="3 个必须的 WordPress 安全技巧" rel="bookmark">3 个必须的 WordPress 安全技巧 | 芒果小站</a>
如果喜欢这篇文章,欢迎订阅芒果小站以获得最新内容。

已经有 7 条群众意见

  1. Jutoy /2009-06-23 15:10

    放置一个空白的 index.html 文件,其他目录也是一样的道理。

    那就是说,每个目录都得放一个么? 回应

    #1
  2. bolo /2009-06-23 16:27

    第一点对大多数人来说用不着。 回应

    #2
  3. 芒果Jutoy/2009-06-23 17:30

    最新的 WordPress 版本已采取了这种措施,能保证程序的安全。 回应

    #3
  4. 妖狐闪现 /2009-06-23 20:03

    呵呵,谢谢分享。 回应

    #4
  5. mylaner /2009-06-24 10:10

    芒果也 2.0 了,呵呵。 回应

    #5
  6. kaysnoopy /2009-07-01 07:46

    防不胜防。 回应

    #6
  7. huaimao /2009-08-04 11:12

    PHP 的程序安全,偶关注的太少了! 回应

    #7

下面我简单说几句