使用WordPress的人很多,但很少有人会关注Wordpress的安全性问题。为了不让你的博客哪天被人挂了个木马链接,适当的防范工作还是要做的。这里,我列举了几个常用的防范措施。
隐藏Wordpress的版本号
虽然Wordpress本身的安全性已经很好了,但多少还是会有些Bug(不然就不会有那么多的补丁发布了),一不小心就可能会被黑客利用。除了经常更新Wordpress之外,最好还是将Wordpress的版本号隐藏掉。
很多Wordpress主题,包括Wordpress默认的主题,都会把Wordpress的版本号加在网站的头部。在模板文件夹的header.php文件里你经常会看到这样一句话:
<meta name="genrator" content="WordPress <php bloginfo('version'); ?> />
这样就直接泄露了你的Wordpress版本号,于是可能导致在你没有来的及更新Wordpress时,被黑客利用旧版本中的Bug攻击你的博客。
禁止用户浏览目录
有些主机默认会允许用户访问目录列表,你可以尝试在浏览器中访问“/wp-includes”目录,看文件是否有被列出来。
让目录文件结构直接呈现给用户显然存在一定的安全隐患,本来也没什么特别的必要,不如直接隐藏掉。当然,你可以在每个目录下都创建一个index.html文件,不过更直接的方法是在.htaccess文件中添加下面一句话就可以了:
Options All -Indexes
更多关于.htaccess的使用技巧可以参考我的另一篇文章:《Wordpress中.htaccess的使用技巧》。
另外在Wordpress中,有很多不必要的路径是不需要被搜索引擎抓取到的。比方以wp-开头的管理面板。这个你可以在.htaccess中修改(方法见上面给出的那篇文章),也可以完全不管。因为如今的搜索已经足够只能,可以分析出网站所用的框架,并自动过滤掉那边不必要的文件了。
修改admin管理员名
Wordpress默认会用admin做为管理员的名称。这样使得黑客可以暴力破解你的网站。所以你可以把管理员改为自己的用户名。Wordpress 3.0以上的版本已经原生支持修改管理员的功能了。另外,一个好的密码也是很重要的,最好的密码是大小写混杂数字,并毫无意义,当然,前提是你也要记得住才行哦~
其实,我更建议你在管理员之外,再创建一个用户,只赋予编辑权限,专门用来发布、修改文章。只有在必要的时候(比方添加删除插件),再登陆管理员账号。
文件夹权限
登陆Wordpress后台后,Wordpress经常会提醒你,你的XXX目录权限过低。很多时候,这条警告都会被用户忽略掉,但其实文件的权限设置非常重要,过低的权限可以会导致黑客以一个其它用户登陆系统,修改你的wordpress文件。
对于文件夹,一般755的权限就足够了。
修改表的前缀
Wordpress默认会经wp_做为数据库中表的前缀,笔者建议把它修改成一个随即的值。这个在你安装的时候可以选择。对于已经安装好的博客,如果你不想手动修改表和配置文件,可以用插件来帮你完成这项工作:Change DB Prefix。
利用插件提高安全性
前面,我一前在讲如何自己动手来提高Wordpress的安全性(自己动手丰衣足食嘛),这里我再提供一些常用安全的软件,它们同样可以提高你Wordpress的安全性:
- Exploit Scanner: 扫描网站的中恶意代码。
- WordFence Security或WordPress Sentinel: 检测Wordpress原文件是否被修改。
- VIP Scanner:检测被插入到你模板中的广告信息。
最后,希望每个Wordpress站长都能拥有一个安全的博客。引用朋友的一句话做结束语:做站长,开心最重要。^_^
