首页 > wordpress基础教程 > 增强WordPress网站安全,需要注意这10个问题点
摘要:本文主要讲了通过十种方式,来强化wordpress网站整体的安全性,其实这些都是必要性的安全防护,但应用了以下操作后,并...

本文主要讲了通过十种方式,来强化wordpress网站整体的安全性,其实这些都是必要性的安全防护,但应用了以下操作后,并不代码你的wordpress网站,不会被黑客入侵,只是多了一层防护而已,降低被攻击几率。

一、限制Wp-Admin目录IP
管理wordpress网站通常只会有两到三个固定几个IP,为了保证网站的安全,下面这个方法可以限制读取wp-admin目录的IP或者IP网段,非指定的IP(或者IP网段)就无法访问后台,
新建.htaccess文件,并将文件上传到“wp-admin”目录下。这段语法的判断流程简言之就是先封锁有所IP,然后开放允许的IP,所以将“allow from 12.34.56.78”的12.34.56.78改成你的IP。如果是一个网段,可以输入“ 12.34.56.”
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
order deny,allow
deny from all
allow from 12.34.56.78

二、限制存取Wp-Includes目录
“wp-includes”这个目录是系统的一些核心目录,还有”/wp-admin/wp-includes”和,”/wp-includes”在我们的网站页面上并没有哪个页面有URL会指向这些地方(通常这个目录里的文件只能被被管理者修改或者代码里调用的)。用以下这段语法可以限制存取的权限,请将下面的代码加入到根目录的.htaccess文件中。
此为官方建议设定。
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
# BEGIN WordPress
如果没有加入以上语法,会显示错误讯息;如果加了以上语法,会显示WordPress的默认404页面:告诉你目录不存在,这样是一个比较安全的防护措施。

三、限制Wp-Login.Php登入IP
如果你网站没有开放注册,那你可以执行这项的方法,限制允许访问wp-login.php只有网站的管理者,设定方法和前面的限制wp-admin存取IP方法类似,请将“12.34.56.78”改成你允许的IP或是网段。
Order deny,allow
Deny from All
Allow from 12.34.56.78

四、限制上传大小
避免黑客透过Dos攻击,利用传输大文件来冲爆你的流量,所以可以透过限制单档大小来阻绝这样的一个状况发生,将以下语法加入到根目录的.htaccess文件中即可,极客人的预设是10MB。
LimitRequestBody 10240000

五、保护Wp-Config.Php配置文件
用过WordPress都知道”wp-config.php”这个文件攸关整个系统的运行,少了它或者配置错误连不上数据库,因为这个文件内保存了MySQL的账号与密码,为了保护这个文件,WordPress官方有个建议,就是先将此文件权限设定为”400”,也就是只允许拥有人权读取。不过设400可能会让一些插件例如wp super cache要写入设定值时发生错误,所以请大家斟酌裁定。
不过保护wp-config.php重头戏是设定.htaccess目录,修改根目录的.htaccess目录,加入以下语法,这语法意思是:禁止所有人浏览(主机内的程序是可以正常读取的)。
此为官方建议的设置方法:
order allow,deny
deny from all

六、防垃圾留言攻击
以下这段语法是保护你的留言防止被机器人垃圾留言攻击,主要屏蔽没有referrer的请求,但极客人使用过后发现成效有限,建议再加装Akismet和quiz保护会更好。请将下述代码加入到根目录的.htaccess文件,其中的”wangbaiyuan.cn”请换成你自己的网站网址。
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*wangbaiyuan.cn.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

七、禁止目录索引
如果你的虚拟主机没有开启禁止目录索引功能,请