十大WordPress安全设置技巧
作者:williamlong 来源:月光博客 发布时间:2008-12-16 13:20:00
WordPress是目前世界上使用广泛的博客软件,比较容易受到各种攻击,因此WordPress安全性也是非常重要的,以下有10个安全技巧,可以帮助你轻松的解决WordPress安全性问题,以免你在WordPress的安全性上走更多的弯路。
1、升级WordPress到最新版本
一般来说,新版本的WordPress安全性都会比老版本要好一些,并且解决了已知的各种安全性问题,特别当遇到重大的版本升级时,新版本可能会解决更多的关键性问题。(例如老版本WordPress有remv.php重大漏洞,可能会导致遭受DDoS攻击,升级到最新2.7版本可解决这个问题)
2、隐藏WordPress版本
编辑你的header.php模板,将里面关于WordPress的版本信息都删除,这样黑客就无法通过查看源代码的防治得知你的WordPress有没有升级到最新版本。
3、更改WordPress用户名
每个黑客都知道WordPress的管理员用户是admin,具有管理员权限,会攻击这个用户,那么你需要创建一个新用户,将其设置为管理员权限,然后删除老的admin帐号,这就能避免黑客猜测管理员的用户名。
4、更改WordPress用户密码
安装好WordPress后,系统会发送一个随机密码到你的信箱,修改这个密码,因为这个密码的长度只有6个字符,你要将密码修改为10个字符以上的复杂密码,并尽量使用字母、数字、符号相混合的密码。
5、防止WordPress目录显示
WordPress会默认安装插件到/wp-content/plugins/目录下,通常情况下直接浏览这个目录会列出所有安装的插件名,这很糟糕,因为黑客可以利用已知插件的漏洞进行攻击,因此可以创建一个空的index.html文件放到这个目录下,当然,修改Apache的.htaccess文件也可以起到相同的作用。
6、保护wp-admin文件夹
你可以通过限定IP地址访问WordPress管理员文件夹来进行保护,所有其他IP地址访问都返回禁止访问的信息,不过你也只能从一两个地方进行博客管理。另外,你需要放一个新的.htaccess文件到wp-admin目录下,防止根目录下的.htaccess文件被替换。
7、针对搜索引擎的保护
很多WordPress系统文件不需要被搜索引擎索引,因此,修改你的robots.txt文件,增加一行Disallow: /wp-*
8、安装Login Lockdown插件
这个插件可以记录失败的登录尝试的IP地址和时间,如果来自某一个IP地址的这种失败登录超过一定条件,那么系统将禁止这一IP地址继续尝试登录。
9、WordPress数据库安全
数据表最好不要使用默认的wp_开头,安装数据库备份插件,无论做了多少保护,你还是应该定期备份你的数据库,使用WordPress Database Backup等插件可以实现数据库的定期备份。
10、安装Wordpress Security Scan插件
这个插件会自动按照以上的安全建议对你的WordPress进行扫描,查找存在的问题,使用较为简单。
猜你喜欢
- 有人说,web2.0的泡沫正在破灭。Techcrunch今天也发表了一篇关于互联网广告正在萎缩的议论。这让我对中文博客的Adsense点击状
- 网站优化一个最重要的因素就是网站的标题标签(Title Tag),如何取一个好的网站标题?元创认为,用一个精简的对用户有吸引力的标题再恰当不
- 10月23日消息,国内领先的社交网站51.com宣布,截止2009年10月中旬,该网站用户上传的图片数量已经超过110亿张,相比去年10月份
- 现在做个人网站想成功,难也不难,不难也难。原因是现在网站太多了,想杀出一条大道是需要很大的魄力的,还有个人网站资金非常有限,不可能拿钱来砸,
- 前言:绝大多数的站长是负担不起独立主机所带来的金钱、时间、维护上的消耗,于是就有了虚拟主机业务。随着虚拟主机近几年良莠不齐的发展,如何选择一
- Matt Mullenweg 是 Wordpress 的创始人与主要开发者之一,现居旧金山,致力于 Wordpress 以及其它一
- 在Windows xp、Windows 2000操作系统下如果需要调试Asp程序,首先需要判断您所安装的系统是否具备调试Asp的环境,IIS
- 可以说当今世上,没有一个不会不想当老板的,包括我在内。不是有句熟话是这么说的吗?"不想当将军的兵,就不是好兵",换句话来
- 网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换web网站主页,到取管理员密码,破坏整个网站数据等等攻击。而这
- IDC首席分析师预计到2012年,美国云计算总开支将达到400亿美元,是2008年的3倍。面对这个巨大的利益诱惑,谷歌等IT企业早已跃跃欲试
- SEO Digger [ 关键词查询, 排名查询 ] - 检测你站点中已经有比较好排名的关键词,并可以查看他们排名的位置。我想,
- 据悉,中国互联网络信息中心(CNNIC)已正式向互联网名字与编号分配机构(ICANN)递交了“。中国”域名国际申请,这意味着“。中国”域名已
- 这些天,中国版的谷歌图片搜索进行了重大的改版,最终图片的显示页面抛弃了原有的框架设计界面,而采用类似百度图片搜索的直接显示图片的界面。与百度
- 环境:RedHat as3jdk安装路径:/usr/java/jdkTomcat安装路径:/usr/local/tomcat/总共分为以下几
- 在刚刚过去的“酷我”粉丝打榜第三季——酷我音乐盒2009版上
- 我做了如下测试:(1) http://www.xxx.com/new/new.asp?id=49’Microsoft OLE DB Prov
- 巨人们在长满杂草的肥沃土地上开始布阵,小虾米们无所适从。各有个的打算各有个的企图,防守、进攻、利益扩张… 1、从全球范围来看,移动互联网的世
- 微软已经改变了DNS向内存装载区域数据的方式。有时候,DNS服务器装载存储在主动目录服务中的非常庞大的区域数据需要一个小时或者更多的时间。这
- 首先确认SERV-U安装好了,并能正确运行。 这里有一个SERV-U扩展库,必须安装在SERV-U3.0版本以上! 这个包一共包含4个文件。
- 大约一周前,Google正式宣布,已经开始在搜索结果排序中考虑网站的网速。这个很久之前就在站长圈传开的消息,终于得到了证实。为了测试网页加载