📌  相关文章
📜  使您的 WordPress 网站更安全

📅  最后修改于: 2021-10-20 10:21:56             🧑  作者: Mango

为什么需要安全?

现在写博客已经成为很多人的爱好,而 WordPress 是最常用的平台。默认情况下,wordpress 博客采用最低级别的安全性,而且其文件和/或插件可能经常过时。这些文件是可追踪的,很容易被黑客入侵。 Internet 不是一个安全的工作场所,人们必须充分了解如何确保安全。

本文介绍了一些初学者可以实施的简单提示和技术,以确保他们的博客和存储在 WordPress 上的信息的安全。

提示 #1 使用唯一、安全的用户名和密码

  • 避免使用默认管理员
  • 用户还可以创建具有管理员权限的新用户并删除旧的“管理员”用户名。
  • Username Changer等 WordPress 插件也可用于将用户名更改为更安全的内容。尽量避免使用容易猜到的常见用户名,例如您的姓名或“管理员”。
  • 选择一个由字母、数字和字符组成的复杂密码。不要选择与用户名、网站名称或简单单词相似但稍作改动的密码。
  • 优选使用的字符的随机字符串的建议。

 提示 #2 启用两步验证

  1. 用户需要有一个 WordPress 帐户,可以通过单击此处创建该帐户。如果用户已有 WordPress 帐户,请跳过此步骤。
  1. 单击此处启用两步验证。用户被重定向到以下页面。

1

  1. 单击“开始”后出现以下屏幕2
  1. 选择通过短信验证选项。
  2. WordPress 将通过短信发送验证码,用户需要输入该验证码以验证号码。
  3. 正确输入发送到您手机的代码。然后应提供一堆备用代码,如果手机被盗或丢失或无法访问手机以获取代码,则可将其用作访问该站点的替代方式。将这些代码保存在文本文件中。
  4. 您现在已启用两步验证。 3

 技巧 #2 使用插件

为了防止蛮力攻击,有两个很棒的插件

  • All in One WP Security & Firewall 插件有一个选项,可以简单地更改该登录表单的默认 URL (/wp-admin/)。此插件还有助于限制从某个 IP 地址登录的尝试次数。
  • 另一个是 BruteProtect。该插件最近已被 WordPress 的创建者 Automattic 收购。该插件会自动保护用户登录表单免受 IP 地址的侵害,这些 IP 地址往往会进行多次登录尝试

提示 #3  将 wp-config 上移一个目录并将其锁定

  • 用户可以移动wp-config。PHP文件复制到 WordPress 安装上方的目录中。这意味着对于安装在您网站空间根目录中的站点,您可以存储 wp-config.xml 文件。 PHP位于 web-root 文件夹之外。
  • 这是 wp-config 的样子: 4

如果正在使用的服务器带有 .htaccess,请将这段代码添加到文件顶部,以拒绝任何浏览它的人访问:



order allow,deny

deny from all

提示 #4 保持 WordPress 更新

假设用户安装了 Wamp 服务器:

  1. 启动 wamp 服务器
  2. 使用 localhost 打开 WordPress 站点
  3. 在仪表板部分下单击更新5
  4. 就我而言,我已经更新了我的 WordPress。所以对我来说,它显示“您已经拥有最新版本”。 6
  5. 对于那些拥有最新版本的人,将有一个更新选项。点击它。完毕!!

技巧 #5 更改文件权限

对服务器具有 shell 访问权限的用户,可以使用以下命令递归更改文件权限:

对于目录:

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

对于文件:

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

技巧 #6 安排定期数据备份

  • 定期备份数据,包括您的 MySQL
  • 数据完整性对于可信备份非常重要。
  • 一个好的备份计划可能包括将整个 WordPress 安装(包括 WordPress 核心文件和数据库)的一组定期快照保存在受信任的位置。

提示#7. 删除自述文件和任何不需要的文件。

  • WordPress 有一个默认的 readme.html,以及许多随附的插件和主题。
  • 应该删除它们,因为它们可用于指纹识别或一般侦听,并且通常包含版本信息。
  • 从文件夹中删除所有垃圾文件。

技巧 #8 启用 SSL 登录

· 如果站点有 SSL 证书,则可以启用 SSL 登录。

· 要启用 SSL,您的站点必须可以使用 https 访问。

  • 将以下代码添加到wp-config文件中
 define(‘FORCE_SSL_LOGIN’, true);// For login only
define(‘FORCE_SSL_ADMIN’, true);//For whole admin

 提示 #9:询问 Apache 密码保护

  • 这个插件在安全性方面为用户提供了对其博客的更多控制
  • 用户可以通过简单的步骤通过 401 授权保护您的站点。

该插件可以从这里下载。

参考:

http://wpsecure.net/secure-wordpress/

http://www.sitepoint.com/tips-to-secure-wordpress/

http://code.tutsplus.com/articles/11-quick-tips-securing-your-wordpress-site–wp-22446

Mudit Maheshwari 的文章:

来自 VIT 大学的 3 年级 B.Tech IT 学生,Vellore,对编码有浓厚的兴趣,李尔泥土关注新技术和开发软件。除了对编码充满热情之外,他还喜欢弹吉他和唱歌。目前住在钦奈。您可以通过 mudit94@gmail.com 与他联系。

如果您还想在这里展示您的博客,请参阅 GBlog,了解 GeeksforGeeks 上的客座博客写作。