對于開源的產品我們安全做法除了官方提供的之外還需要對版本,目錄,圖片及數據庫前綴進行一些其它設置了,下面我來總結一下wordpress博客的安全配置吧.

在前面幾節，我們分別對wordpress安全性作了比較大的動作,包括《修改admin賬號》,《隱藏版本號》,《保護登陸頁面》基于以上這些設置,安全性已經提高了一個層次,那么關于其他的一些設置,可以給出來參考一下.

修改數據庫前綴

WordPress默認會以wp_做為數據庫中表的前綴,可以把它修改成一個隨即的值,其實這個在你安裝的時候是可以選擇,那么對于已經安裝好的博客,如果你不想手動修改表和配置文件,可以用插件來完成這項工作:Change DB Prefix,可以一鍵重命名表前綴為任意的字符串.

防止用戶瀏覽WordPress目錄

有些主機默認會允許用戶訪問目錄列表,你可以嘗試在瀏覽器中訪問“域名/wp-includes”目錄,看文件是否有被列出來,讓目錄文件結構直接呈現給用戶顯然存在一定的安全隱患,打開WordPress根目錄下的.htaccess文件,可在頂部添加

Options All -Indexes

保護wp-content文件夾里的文件

WordPress的PHP文件是無法通過http訪問的,所以,這里我們需要注意的是圖片,附件,CSS和JS代碼,保護的方法修改.htaccess,代碼如下:

1. Order Allow,Deny  
2. Deny from all  
3. “” ~=”">  
4. Allow from all 

使用SSL

如果你擔心數據泄露或被截獲,可以使用SSL連接方式,但請確保主機支持SSL,如果不支持請直接跳過本條.

打開wp-config.php 文件(一般位于根目錄)添加以下代碼:

define(‘FORCE_SSL_ADMIN’, true);

這里,定義了FORCE_SSL_ADMIN常數,其值設置為true,這樣就在WordPress里開啟了SSL。

防止圖片盜鏈

大多數虛擬主機和VPS都是限制流量的,而圖片往往會消耗絕大部分流量,我們在希望自己文章被更多人訪問和傳播的同時又不得不去面對圖片鏈接帶來的巨大流量,所以可以借用防止圖片外鏈代碼:

1. RewriteEngine On  
2. #Replace ?mysite.com/ with your blog url  
3. RewriteCond %{HTTP_REFERER} !^http://(.+.)?mysite.com/ [NC]  
4. RewriteCond %{HTTP_REFERER} !^$  
5. #Replace /images/nohotlink.jpg with your “don’t hotlink” image url  
6. RewriteRule .*.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L] 

跟蹤WordPress服務器的登錄活動

你可以在Linux中使用“last -i”命令來獲取所有登錄到服務器的IP地址,如果你在列表中發現一個未知的IP地址,一定要立即更換密碼.

此外,也可以使用以下命令來顯示一段時間內按IP地址分組的用戶登錄活動信息(用你的shell的用戶名替換USERNAME).

last -if /var/log/wtmp.1 | grep USERNAME | awk ‘{print $3}’ | sort | uniq -c

備份數據庫

對于網站數據庫備份是必須的,如果你有定期備份習慣最好,如果沒有,可以使用BackWPup插件.

使用安全性插件

關于wordpress安全性插件很多,而且前面說的內容都可以使用插件來實現,所以不多介紹,可以去了解一下.

隱藏版本號

簡單隱藏,尋找header.php模板文件里的以下代碼并刪除。

<meta name="genrator" content="WordPress <php bloginfo('version'); ?> />

完全隱藏,在functions.php添加以下代碼可隱藏網站所有輸出區域中的wordpress版本號:

1. function wpbeginner_remove_version() { 
2. return ''; 
3. } 
4. add_filter('the_generator', 'wpbeginner_remove_version'); 

注:部分教程可能只要求網站頂部隱藏版本號,但是如果你的站點其他輸出區域如RSS等存在版本號,一樣是可以看到的,所以使用完全隱藏方法比較妥當.