板邓:wordpress建站不得不知的安全防护(二)
在瀏覽器中打開?http://你的WordPress安裝地址/wp-admin/images/?看看有什么效果?
在瀏覽器中打開?http://你的WordPress安裝地址/wp-admin/?,隨意輸入用戶名和密碼,看看你的博客允許你輸錯(cuò)多少次?
在images/目錄下放置一個(gè)index.html或index.php
index.html放置跳轉(zhuǎn)到404的代碼
一、設(shè)置一個(gè)安全的密碼
雖然這已經(jīng)是老生常談了,但是還是建議給你的?WordPress設(shè)置一個(gè)安全的密碼,最好給WordPress設(shè)置一個(gè)單獨(dú)的密碼,即這個(gè)密碼在別的地方還沒有用過。
二、隱藏你的目錄
假設(shè)你的博客地址是www.your.com ,默認(rèn)情況下,如果訪問這個(gè)網(wǎng)址www.your.com/wp-content/plugins,將會(huì)以列表的形式把plugins目錄下的文件列出來,這樣別人就輕而易舉的知道你安裝了哪些插件,黑客可能會(huì)利用這些插件的漏洞來攻擊你的網(wǎng)站,那可不好!安全做法是在這個(gè)目錄下放入一個(gè)空白的index.html。同樣也可以在其他你不想讓別人看到的目錄中放置index.html,例如wp-content
三、使用Login Lockdown插件
如果別人不知道你的密碼,他又想非法登錄你的博客后臺(tái),那他一般會(huì)選擇暴力破解你的密碼,即一個(gè)一個(gè)地試,直到破譯你的密碼為止。使用Login Lockdown插件在一定程度上阻止別人測(cè)試你的密碼,如果探測(cè)到一個(gè) IP 段在一時(shí)間段內(nèi)登錄失敗的次數(shù)超過了某一數(shù)目,就會(huì)自動(dòng)鎖定其登錄功能,并禁止此 IP 段的使用者登入系統(tǒng)。這個(gè)登錄失敗的次數(shù)和限制登錄的時(shí)間間隔等,都可以在你的后臺(tái)設(shè)置。
四、及時(shí)備份你的博客
使用WordPress Database Backup插件可以很方便的備份你的博客數(shù)據(jù)庫,可以選擇兩種方式備份:一、備份到你的網(wǎng)站空間的某個(gè)目錄下;二、把備份文件發(fā)送到你的郵箱。我是把備份文件發(fā)送到我的郵箱,這樣可以防止網(wǎng)站服務(wù)器掛了,備份也沒了.
五、去除header.php中的版本信息
普通模板會(huì)在header.php中加入如下信息來顯示使用中的WP版本,這樣不良企圖的人會(huì)根據(jù)版本來進(jìn)行攻擊。把下面的代碼刪除:
| 1 | <meta?name="generator"?content="WordPress <?php bloginfo(‘version’); ?>" /> |
六、保護(hù) wp-config.php 文件
將wp-config.php的權(quán)限設(shè)置為只讀,這樣一般別人就看不到了。另外你可以在.htaccess 文件中加入以下語句來防止其它人瀏覽到 wp-config.php 文件:
| 1 2 3 4 5 | # protect wpconfig.php <files wp-config.php> Order deny,allow deny from all </files> |
?
七、更改登錄用戶名,隱藏你的登錄名
安裝好WordPress?后,就應(yīng)該立刻使用自己的用戶名和密碼創(chuàng)建另一個(gè)有管理員權(quán)限的用戶,并將 "admin" 用戶刪除。WordPress?中有一個(gè)很好的方法,就是可以隱藏你的登錄名。在"用戶"設(shè)置中,你可以把你的"對(duì)外顯示為"更改為你的昵稱,這樣在你發(fā)布文章的時(shí)候,給訪客回復(fù)的時(shí)候,顯示的就是你的昵稱,而不是你的后臺(tái)登錄名。
轉(zhuǎn)載于:https://www.cnblogs.com/xbdeng/p/5966438.html
總結(jié)
以上是生活随笔為你收集整理的板邓:wordpress建站不得不知的安全防护(二)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: HDU - 3068 最长回文(mana
- 下一篇: javascript中的for in循环