32步WordPress网站安全终极检查清单:第18~22步

分享本文:
security-checklist-step-18-2
32步WordPress网站安全终极检查清单:第18~22步
请为本文打分

网站安全,是许多WordPress新手容易忽略的一个重要问题。如何确保WordPress网站安全,也是许多刚刚接触WordPress的用户面临的一个难题。WordPress中文网本系列教程教你介绍一系列的步骤,来保护你WordPress网站的安全。这一些列步骤共分32步,今天介绍第18~22步。

全文目录

32步WordPress网站安全终极检查清单 – 目录

18. 限制尝试登录的行为

我们前面已经提到过密码的暴力破解;对黑客来说,使用计算机程序来暴力破解密码,成本非常低廉。因此,你应该设置一种机制来阻止任何尝试暴力破解你网站密码的行为。

wordpress-limit-login-attempts

这个Limit Login WordPress(限制登录WordPress)插件,就是做这个的。如果它监测到一定次数的登录时密码错误的行为,它就是禁止用户在一定的时间内再次尝试登录。很显然,这样会很使得暴力破解很难实施,可以显著增加你的网站的安全系数。

19. 启用双重认证

有一个可以快捷迅速增强你WordPress网站登录安全的举措,那就是启用双重认证(Two Factor Authentication),许多人将其简称为2FA。

2FA创建一种登录WordPress后台的机制,除了输入你的正常密码之外,还需要输入一个基于时间的安全口令,这个口令对于每个用户都是不一样的。通常,这个口令每60秒变化一次。

安全口令对每个用户都是独一无二的,并且很快就会过期;这样即使有人获取了你的登录账户和密码,也无法登录你的网站,因为他们无法获取你当前的安全口令。这样可以显著增加登录你网站的安全性,同时还可以阻止黑客暴力破解你的登录信息。

我们在前面25个最受欢迎的WordPress插件一文中介绍过Clef Two-Factor Authentication插件,今后我们还将介绍更多这方面的插件。

20. 确保文件权限设置正确

这一段会出现一些技术术语,但不会很难。

PHP和WordPress对文件和文件夹有一套权限设置规则。我们尽量不涉及过多细节,通常包括以下三种权限:

  • 允许public可写入的文件和目录;
  • 只能被web服务器写入的文件;
  • 只能读取的文件;

通常来说,你自己的web服务器要能够写入文件,而永远不希望public internet(公共网络)来随意写入你的文件。

有些新手以及一些较懒的开发者,可能会建议你将文件权限设置为最大。比如说,他们会建议你将所有的文件和文件夹权限都设置为public可写入(777)。这会带来严重的安全隐患,因为这意味着任何人都可以往你的文件和文件夹写入任何程序。你可能会发现你的文件夹下有很多垃圾内容。这里面的程序还有可能跳出当前目录来传染你同一个服务器上的其他网站。

通常来说,文件的权限应该设置为644,而文件夹(目录)的权限应该设置为755。而对于wp-config.php文件,你可以将其权限设置为400或者440。

如果别人告诉你的不一样,那么要小心了。我们建议你不要听取其他的建议。

file-permissions

如何查看你的文件夹权限是否正确呢?你可以通过主机管理系统(cPanel或其他)进行查看,如果你的主机商提供的话;也可以通过FTP客户端软件进行查看。

如果你还是搞不懂,你可以选择WordPress中文网为你提供的专业主机服务,这些服务器都做了专业的安全设置:文件夹权限为755,文件权限为644,重要目录禁止设置777权限,否则将出现500错误;当然特殊目录,你可以自行设置。

21. 修改默认的数据库表前缀

这也是WordPress早期版本的一个问题。在早前,WordPress数据库中的数据表,默认前缀为 wp_ 。

尽管现在已经没有默认设置,用户可以自行设定;但有些用户不去修改这些默认设置,也没有修改已安装WordPress网站的数据库。

将默认的数据库表前缀 wp_ 修改为其他的字母串,可以有效阻止某些网站攻击行为。

不过,这项操作需要由专业的WordPress开发者来完成,不熟悉的用户请勿自行修改。

22. 确保设置了WordPress秘密认证验证密钥

有些用户可能知道WordPress配置文件wp-config.php中的八个安全及身份验证密钥,但并不知道是做什么用的;有些用户可能从未听说过它们。

这八个身份验证密钥看起来是这个样子的:

wp-config-key

简单地说,这是八个随机生成的变量,使得你的WordPress密码更难被破解。这是因为它增加了存储在数据库中密码的随机性,使得密码更难被暴力破解。

这些密钥是在安装WordPress期间,由WordPress随机生成器产生的。如果你使用的WordPress版本较早(WordPress 2.6之前),或者你的主机空间无法连上WordPress随机码生成器的话,那么你需要自己来进行设置。

你可以按照这些步骤来进行设置:

  1. 先生成一些随机的字符串:你可以随机设置,也可以使用WordPress随机码生成器自动产生。
  2. 打开你的 wp-config.php 文件,将上面的随机字符串添加到相应的位置。

千万不要告诉别人你的这些身份验证密钥,这是来保证你网站安全的。

(未完,待续…)

 

 

 

32步WordPress网站安全终极检查清单:第18~22步
请为本文打分
分享本文:


发表一下评论

电子邮件地址不会被公开。 必填项已用*标注