分享[12个经典的WordPress安全技巧]

WordPress是一个功能强大的内容发布平台,但它始终无法完全避免黑客、垃圾信息等恶意攻击对WordPress文件的威胁。

WordPress的开源性决定了WordPress遭到恶意攻击的可能性较大,黑客们能够轻易获取该项目的源代码并寻找安全漏洞。 幸好我们还可以通过各种方式来为自己的WordPress网站添加安全防护层。 本文向大家介绍了一些用来保护WordPress网站的小技巧和修改方法,避免网站遭到恶意攻击。

1.定期备份MySQL数据库

备份网站资料和数据库非常重要。 我们可以定期以.sql文件格式导出MySQL数据,进行备份,把导出的文件保存到安全的地方。

分享[12个经典的WordPress安全技巧]

推荐每天备份一次数据库。即使我们不常更新网站,但也可能随时收到用户评论和引用通告。 但手动备份实在有些无聊,而且有时我们还可能忘记备份, 这时就可以利用插件进行自动备份了。

这里介绍一款 WordPress Database Backup自动备份插件, 用户可以选择 WordPress Database Backup提供的备份周期(包括每小时、每天、每星期、每月等周期)进行资料备份。 备份过后即使数据库被破坏,我们也可以用备份资料来还原数据库。 目前市面上有很多数据库自动备份工具,我们要根据自己的需求选择合适的工具。

2.为wp-admin文件添加多重保护

分享[12个经典的WordPress安全技巧]

wp-admin文件是WordPress中非常重要的文件,所有关于管理页面的文件都存放在wp-admin文件中。 如果wp-admin文件安全受到威胁,后果会很严重,不仅WordPress安装文件会被破坏,域名上的其它信息也会受到影响。

我们可以用几种方法来锁定wp-admin文件,以免wp-admin文件遭到攻击。 其中一个方法是通过.htaccess文件(供Apache网络服务器)限制可以访问wp-admin的IP地址,降低遭到攻击的风险。 使用其它类型web服务器(比如IIS,IIS配有一个即开即用的GUI)的用户也需要为wp-admin文件设置相同的访问权限。

首先要在我们常用的文本编辑器或源代码编辑器中新建一个空白文件(Windows Notepad这样简单的文本编辑器同样奏效)。 以.htaccess为扩展名保存新建文件。
我们可以在.htaccess文件中放入以下代码:

order deny, allow
allow from 123.456.78 #Your IP Address
deny from all

然后把文件保存到wp-admin文件夹中。

这种方法相对简单,的确也加强了wp-admin文件的安全性,但如果我们在不同地方操作(于是IP地址也会不同),这种方法就不太方便了。

我们还可以用AskApachePasswordProtect插件来保护WordPress的管理文件。 这款插件能够提供多种安全防护措施,比如访问任何管理页面都需要用户名和密码, 自动编写.htaccess文件(对不熟悉Apache服务器访问权限的用户来说,这的确非常有用)等。

分享[12个经典的WordPress安全技巧]

查看Apache上关于使用身份验证、许可验证以及访问权限的文件,了解如何锁定各种文件。

3.不要公开所用的WordPress版本号



分享

2 条评论 - 我要发评论

发表评论