加强WordPress安全的8条技巧

分享本文:

WordPress的安全是我们时常提及的一个议题。或许你已经听到了很多关于网站安全的建议,但却未必去做,因为你觉得你的网站并不会成为“黑客”攻击的目标。但实际上,在过去几年中,我们的WPChina的主机用户中,就有十多个网站被黑。因此,即使你只是一个普通的WordPress用户,也不应忽视WordPress的安全问题。

今天我们的这篇文章,列出了8条加强WordPress网站安全性的建议,希望你不要忽视。

1. 做好备份

定期进行网站备份时最基本的要求。如果你不能定期备份,一旦出错,网站数据就有可能全部丢失,损失就无法挽回。这样的冒险完全不值得,只要养成良好的备份习惯,即使网站出现问题,也不必担心。

良好的备份习惯有3个要点:

    1. 备份数据不能保存在服务器上(因为一旦服务器出问题,备份也可能会出问题;使用vps的用户尤其要注意这一点)
    2. 备份能够自动进行(因为你未必能够记住每天去亲自备份)
    3. 有必要保留多个备份(假如说你就保留了过去3天的备份,如果你出去度假5天,那么你保留的最老版本的备份,可能已经是出了问题的版本了)

因此,我们一般推荐 WordPress Database Backup 这样的插件来进行自动备份,它可以将文件给你自动发送到邮箱中。

2. 保持更新

WordPress开发社区非常活跃,版本更新速度快,甚至超过了网友们适应的速度。“升级WordPress可能会让我的插件/主题无法使用”,基于这样的考虑,是许多WPer不愿意及时升级WordPress的主要原因。升级WordPress确实存在这样的问题。

但是,不及时升级WordPress可能会更糟糕。因为 WordPress 每次升级都包含一些安全措施的修补。如果你没有及时更新,你的网站就存在漏洞,这样的网站就处于危险之中。

尤其是WordPress小版本的更新,比如从 3.2 到 3.2.1 ,修复了一些安全问题。因此一旦有这样的版本升级,你应该及时进行网站的升级

对于WP网站而言,隐藏版本号或许可以降低一些风险。你可以在你当前所使用的主题的 functions.php 文件中添加如下代码,来隐藏 WordPress 的版本号:

remove_action(‘wp_head’, ‘wp_generator’);

不过这样并不能代替升级。及时升级仍然是最好的防御措施。

3. 更健壮的密码

或许你已经听无数人这么说了,要选择使用一个更复杂更安全的密码。密码太简单仍然是WordPress网站被黑的第一原因

如何知道你的网站密码是不是很弱呢?容易。如果你的密码有任何的意义,比如说,名字拼音/生日/英文单词等等?如果你能拼出来,基本上就是很差劲的密码。密码应该是真正随机的、毫无意义的字母、数字和符号的组合。

无意义在这里非常重要。将“michael”换成“michae1”并不会更安全一些。因为这样的变换也非常容易猜到。

4. 经常检查你的网站

你的网站经常会在你不知情的情况下受到牵连。比如说,许多令人讨厌的脚本程序会在你的网页上包含一些只有搜索引擎才能查看到的链接。

尽快找到这些代码非常重要。因为一旦 Google 对你的网站进行惩罚,你的排名就要向后靠了,恢复排名的过程异常痛苦。

使用 Google 站长工具或其他类似工具可以帮你尽快查清网页中的链接。

5. 禁止显示目录索引

一般虚拟主机允许显示目录索引。这样,如果有人访问你的网站的某个目录(比如 wp-content/plugins/),就能查看到该目录下的文件名。“ 黑客”可以看到你的服务器上的所有文件名,这非常糟糕。

要修复这个问题很简单,只要使用文本编辑器打开 .htaccess 文件并添加如下代码即可:

#Prevent directory indexing
Options -Indexes

6. 不要使用FTP

FTP 是向网站上传文件的常用方式,但他并不安全。FTP传输过程可能会被入侵。如果你的主机允许,建议尽量使用 SFTP 来代替 FTP 。

SFTP 和 FTP 两种工作方式完全不同,但使用上完全一样。如果你不确定你的主机是否支持 SFTP,请联系你的主机商询问(绝大多数都支持 SFTP,包括我们的主机)。

7. 修改 wp-config.php 文件位置

默认的 wp-config.php 文件存放在网站根目录,但并不是一定要放在这里。你可以将它放到程序的上一级目录中(也就是根本不会出现在网站程序目录中)。

这很做起来很容易,只需要将文件放到上一级目录中。WordPress会知道去哪儿找到它

此外,如果你已经使用WordPress有段时间,但是却还没有使用安全密钥,我们强烈建议你在 wp-config.php 文件中使用。

WordPress 使用 MD5 来加密用户的密码,加密后的密码很难被破解。但有些黑客用计算机列出了所有8位以内密码组合和对应的md5码,这样如果获取了加密后的密码,可以直接查出你的密码,非常恐怖。解决这一问题的常用办法就是给密码加“盐”。

你所要做的就是打开 https://api.wordpress.org/secret-key/1.1/salt/ ,将其生成代码复制到 wp-config.php 文件中,然后保存。

8. 小心下载的插件/主题

目前网上可以下载 WordPress 插件和主题的地方非常多,但并非所有的网站都可以相信。根据我们的经验,许多用户网站被黑,大都是使用了带有恶意代码的主题或插件

在下载 WordPress 主题或插件之前,最好先 Google 一下人们对这个网站的看法。如果有很多的好评和链接,那就不妨去下。否则,还是离开为妙。

对于 WordPress 插件,最好的下载地方是 WordPress 官方插件目录。此外,你也可以去你信得过的地方购买付费插件。

对于 WordPress 主题,WordPress 官方主题目录非常棒。但有很多的优秀的主题开发者都将主题放到自己的网站上。

因此,如果你从第三方的网站上下载 WordPress 主题,强烈建议你立即检查网站(尤其是一些网站会在页脚放一些付费链接,Google可能会惩罚你的网站)。

分享本文:


评论: 加强WordPress安全的8条技巧

留言给文章 丸美化妆品官方网站 取消回复

邮箱地址不会被公开。 必填项已用*标注