WordPress安全指南 2013年08月19日

WordPress安全指南

WordPress是目前全球范围内最受欢迎的博客软件,也正因为如此,WordPress博客网站成为众多黑客的攻击目标,然而,WordPress专家和开发人员也从未间断过地和黑客作斗争,主机91也一直关注着WordPress的安全问题,经过多年的经验,主机91总结出保障WordPress博客网站安全的一些方法。

信息系统安全

在考虑WordPress博客网站的安全之前,你需要检查主机空间、网络和计算机的安全,只有保证主机空间等的安全之后你才能放心使用WordPress及其插件。
 
无论你是使用WordPress还是Z-blog等CMS来创建网站,你都需要选择一个安全可靠的主机空间,比如在降低安全风险方面做得很好的WordPress主机。你所选择的主机空间至少应该满足以下几个方面:
  • 主机商主动提供主机空间可能存在的安全问题和相关措施
  • 能及时更新所有服务器软件
  • 能有效地对数据进行备份和恢复
在确保主机空间的安全性以后,你需要考虑网络漏洞以及电脑安全,你可以下载防火墙、间谍软件保护、杀毒软件和实时恶意软件检测程序,此外,你还需要确保你的操作系统和所有计算机软件都是最新版本并安装了最新的安全补丁。

WordPress升级

当一个版本的WordPress存在漏洞时,开发人员会立刻开发新的版本并在新版本中修复漏洞,WordPress最新版本可以在WordPress官网WordPress.org下载,也可以直接在WordPress仪表盘中按照提示更新。
 
 
WordPress是一款开源的博客软件,所以版本越低越容易受到黑客的攻击,所以为了WordPress博客网站的安全着想,当有新版本的WordPress软件时需要及时更新。
 
而许多WordPress用户并不会使用最新版本的WordPress,这是因为他们使用的一些WordPress插件并不兼容WordPress最新版本。如果出现这种情况,你需要权衡插件和可能存在的风险二者的重要性,其实很多时候不兼容最新版本WordPress的插件也可以使用一些兼容性强的类似插件代替。
 
如果实在不能升级WordPress,你可以通过Secure WordPress插件来隐藏WordPress版本号来避免黑客攻击。

WordPress密码

虽然一些黑客是通过入侵WordPress后台来达到攻击的目的,不过也有一些黑客是通过盗窃账号和密码来攻击你的WordPress博客网站,所以你应该设置一个高强度的WordPress密码。
 
除了设置一个高强度的密码,你还需要定制你的登录名,默认的用户名是admin,这也是黑客最容易攻击的登录名。因为默认的用户名无法修改,所以你需要创建一个新用户并删除之前的管理员账户。
 
此外, 你还可以使用一些插件来增强登陆的安全性。
 
Stealth Login Page—— 这款插件可以很好地保护WordPress后台管理页面和后台登陆页面不被黑客攻击,你可以开启加密登陆页面功能。
 
User Locker——可以自行设置输入密码的最大次数,如果多次输入无效密码,这个WordPress账户便将被锁住,只有通过设置新密码或寻求管理员帮助才能重新登陆。
 
One-Time Password——这主要用于在一些公共网络登陆,比如酒店或者wifi 热点。这款插件会为用户创建一次性密码,有效保证了账户的安全。

WordPress备份

定期备份WordPress博客网站可以应对一些突发状况。你可以使用下面两种插件来帮助你备份网站。
 
WP-BD Manager——这是目前最可靠的备份插件,为用户提供了全部文件的备份和恢复。
 
WP Time Machine——允许用户将WordPress文件和数据备份到Dropbox账户、Amazon AWS S3 账户或者远程FTP中。
 
安装WP Security Scan
 
这款插件可以扫描WordPress网站常见的安全问题,并提供每个安全问题的解决指令。

隐藏登陆错误提示信息

当有人输入了不正确的登陆信息时,WordPress会提示登陆错误的原因,一些黑客便可根据这些提示进一步攻击你的网站,不过如果你隐藏了登陆错误的提示信息,便使黑客无机可趁。你需要打开名为function.php的WordPress系统文件,然后输入下列代码。
 
add_filter('login_errors',create_function('$a', "return null;"));

禁用文件编辑

在对WordPress采取了充足的保护措施之后,你还可以选择禁用文件编辑来避免黑客的攻击。默认情况下,管理员可以编辑系统文件,包括主题文件、PHP文件盒插件等,因为这些文件可以运行可执行代码,所以黑客经常利用这点才介绍恶意软件,从而获取用户信息。你可以在名为wp-config.php的WordPress文件中输入下列代码来实现文件编辑禁用。
 
define('DISALLOW_FILE_EDIT', true);

总结

虽然我们永远无法保证WordPress博客网站100%安全,不过我们可以通过上文的方法来最大限度地降低风险。

分享到:
WangZhanAnQuanXingYouHua
推荐阅读