32步WordPress网站安全终极检查清单:第23~27步

分享本文:
security-checklist-step-23-27

网站安全,是许多WordPress新手容易忽略的一个重要问题。如何确保WordPress网站安全,也是许多刚刚接触WordPress的用户面临的一个难题。WordPress中文网本系列教程教你介绍一系列的步骤,来保护你WordPress网站的安全。这一些列步骤共分32步,今天介绍第23~27步。

全文目录

32步WordPress网站安全终极检查清单 – 目录

23. 禁止执行PHP代码

如果黑客通过某种手段侵入了你的网站,那么他要做的第一件事可能就是在某个文件夹内执行PHP代码。但是,如果禁止掉这个功能,那么就算你的网站被入侵,也能保护你的网站不会产生严重的后果。

这是保护WordPress安全一个重要步骤,可能会影响某些插件和主题的运行。但是,你至少应该限制最可能出现问题的两个目录 wp-includes 和 uploads 。

你可以把以下代码放到 .htaccess 文件中,然后把文件放在WordPress文件的根目录,或者你想要限制的目录(比如上面我们说的 wp-includes 和 uploads 目录):

<files *.php>
order allow,deny
deny from all
</files>

24. 隔离WordPress数据库

如果你在同一个服务器上有多个网站,你可能会喜欢所有的网站共用同一个数据库。

这样会影响WordPress网站的安全。如果其中一个网站被黑,其他使用同一个数据库的WordPress网站也就有可能被黑掉。

在你设置WordPress安装的时候,第一件事就是应该穿件一个新的数据库。给数据库设置一个单独的名称、单独的数据库用户名和单独的密码,这些都应该和其他网站的数据库信息不一样。

这样,即使你的其中一个网站被黑,也不会通过数据库入侵到你同一个服务器上的其他网站。

25. 限制数据库用户的权限

当你第一次设置WordPress网站的时候,由于缺少信息,你可能会由于权限设置不当而给数据库带来隐患。

通常来说,数据库用户需要以下权限:对于绝大多数的WordPress网站日常操作来说,只需要读取和写入数据库的权限:SELECT(选择), INSERT(插入), UPDATE(更新), 以及DELETE(删除)。

你可以移除以下这些权限:DROP(删除数据库或数据表), ALTER(更改数据表)和GRANT(赋予数据库或数据表权限)。

注意:有些WordPress主版本的升级可能需要这些权限(比如要修改某个数据表),但是绝大部分日常工作并不需要这些权限。你可以在需要的时候,临时更改设置。

26. 禁止文件编辑

当你刚开始建站的时候,你可能会经常要调整主题、修改插件,因此需要对这些文件进行编辑。除此之外,一般情况下WordPress的管理员都没有必要去编辑PHP文件。

因此,当你的网站开发工作完成之后,一旦正式运行,你就没有必要去编辑这些文件了。

同时,允许管理员编辑这些文件,还存在安全上的漏洞。因为一般黑客破解登录到你的网站,那他们就可以马上修改你的php文件,在文件中随意植入他们想要的放置的木马病毒等恶意代码。

要想禁止管理员编辑这些php文件,你只要将以下代码放入到你的wp-config.php文件就可以了:

define('DISALLOW_FILE_EDIT', true);

27. 保护wp-config.php文件的安全

如果把WordPress的文件比作一个人的身体,那么 wp-config.php 文件就是人的心脏。

我们这里不再对 wp-config.php 文件的重要性做过多的解释,以后我们将专门撰文介绍。我们只要记住这个事实,wp-config.php文件存储了许多重要的信息,包括WordPress网站的数据库名称、用户名、密码、身份验证密钥、以及其他一些重要的设置。因此,这个文件可以说是非常重要。简单地说,其他任何人都应禁止接触该文件。

我们强烈建议加强对WordPress核心配置文件 wp-config.php 的保护。对于是否要转移该文件的位置来提升 wp-config.php文件的安全性,网上有一些争议;但大家都同意应该保护wp-config.php文件的安全。

如果你没有设置上面第23步中介绍的安全举措(禁止执行PHP代码),那么你可以在.htaccess文件中添加以下代码:

<files wp-config.php>
order allow,deny
deny from all
</files>

当然,如果你已经严格执行了第23步,那么也就不需要再进行这一步骤了。

(未完,待续…)

分享本文:


评论: 32步WordPress网站安全终极检查清单:第23~27步

  • 23. 禁止执行PHP代码 我把 .htaccess 文件用zip格式上传然后解压在public_html文件夹,但是我找的话就找不到,不知道是否上传成功啦?

    viv 2016/11/11 6:10 下午 回复
    • 你可以通过ftp查看。有些web文件管理器默认不显示隐藏文件,需要设置一下。但是ftp都会列出来的。

      WordPress中文网 2016/11/11 10:29 下午 回复

留言给文章 WordPress中文网 取消回复

邮箱地址不会被公开。 必填项已用*标注