是一個PHP開源的免費博客平臺系統(tǒng)�,功能強大��,使用方便��,受到眾多博主的青睞��,成為用戶最多的博客系統(tǒng)��。雖然我們在安全方面做得很好��,但是我們?nèi)匀恍枰訌姲踩O(shè)置����,因為漏洞肯定會存在wordpress忘記后臺密碼,但還沒有被發(fā)現(xiàn)���。因此��,我們必須進一步加強安全性��,避免因漏洞而造成不必要的損失��。
一�����、更新
每次更新都伴隨著程序漏洞的修補和安全問題的解決���,因此非常有必要及時更新到最新版本�����,以防止黑客利用舊版本中發(fā)現(xiàn)的漏洞�����。
二���、設(shè)置復雜密碼
提高安全意識可以避免很多潛在的安全風險,比如密碼選擇�����。我們需要為后臺選擇一個強密碼,以防被破解�。
強密碼包括:
1�����、至少 15 個字符
2�、包括大寫字母
3、包括小寫字母
4�、包括數(shù)字
5、 包含特殊符號����,如 ` ! “? $ ? % ^ & * ( ) _ ? + = { [ } ] : ; @' ~ # | < , > . ? /
6���、不能與上次密碼相似
7����、不能包含你的名字
8���、不能包含你朋友的名字
9���、不能包含家庭成員的姓名
10�、不能包含你的生日�、手機、身份證等���。
…
我們可以通過我們的網(wǎng)站自動生成強密碼�。
三�����、使用 sftp 代替 ftp
Sftp 通過安全加密傳輸文件����,防止黑客竊取敏感文件。普通的ftp是明文傳輸�。一旦黑客成功攔截數(shù)據(jù)包,文件將以明文形式呈現(xiàn)��。 sftp 是 sshd 的一部分���,如果你有權(quán)限通過 ssh 賬戶管理空間�����,就意味著你可以使用 sftp 傳輸文件��。
四�、文件權(quán)限設(shè)置
文件權(quán)限設(shè)置參考:
文件權(quán)限設(shè)置涉及幾個目錄:
根目錄/, /wp-admin/, /wp-/:
所有文件都應該設(shè)置成只有自己的用戶賬戶有寫權(quán)限,其他人只有讀權(quán)限�����。
/wp-/:
用戶目錄����,可設(shè)置為所有用戶可寫�。
/wp-//:
主題目錄,如果需要后臺使用主題編輯器wordpress做網(wǎng)站��,需要可寫����。
/wp-//:
插件目錄,設(shè)置為只能由您的用戶帳戶寫入��。
提示:整個站點的目錄不需要可寫才能正常運行����,所以建議將其設(shè)置為整個站點不可寫。當需要自動升級,需要安裝主題或插件時����,可以暫時設(shè)置為可寫,然后關(guān)閉寫權(quán)限即可��。就是這樣���,這是最安全的設(shè)置�����。
五�、數(shù)據(jù)庫安全
如果服務(wù)器運行多個網(wǎng)站并使用mysql數(shù)據(jù)庫��,建議為每個數(shù)據(jù)庫指定一個低權(quán)限用戶�����。數(shù)據(jù)庫用戶需要的權(quán)限有:Alter,,,Drop,,,.
添加mysql數(shù)據(jù)庫的具體命令是:
無需遠程連接:
授予 Alter,,,Drop,,, on ����。 * 到 ''@'' by '';
需要遠程連接:
授予 Alter,,,Drop,,, on 。 * 到 ''@'-ip' by '';
六�����、后臺 wp-admin 安全設(shè)置
后臺的安全設(shè)置 wp-admin 有人建議修改后臺的地址,雖然可行��,但是比較麻煩����,升級也會遇到困難。因此��,我們一般不建議修改后臺地址�����。這里我們用三步來實現(xiàn)wp-admin后臺的安全設(shè)置��。
1��、后端設(shè)置服務(wù)器端密碼認證�����。
訪問wp-admin后臺時�,需要輸入用戶和密碼才能進入后臺�����,防止黑客暴力破解后臺密碼。
nginx設(shè)置方法如下:
設(shè)置方法如下:
2�、強制 ssl 登錄后臺。
如果你的網(wǎng)絡(luò)不安全��,如果你使用http明文登錄后臺�,就有可能被黑客監(jiān)控到用戶和密碼。如果使用 https 傳遞密碼wordpress忘記后臺密碼��,則可以避免這種潛在的安全隱患�����。
設(shè)置方法:
3���、只允許指定ip登錄后臺
這應該是一個非常好的安全設(shè)置���。如果可以的話,也就是你的工作地址比較固定wordpress做網(wǎng)站����,可以只設(shè)置指定的IP或者IP段登錄后臺,這樣會大大增強后臺的安全性���。
nginx設(shè)置方法:
設(shè)置方法:.
七���、wp-wp-.php
對于wp-的保護���,我們可以使用nginx或者nginx來禁止任何用戶訪問wp-files。
設(shè)置方法:
# 阻止 -only 文件��。
開啟
/
^wp-\.php - [F,L]
^wp-admin// - [F,L]
!^wp-/ - [S=3]
^wp-/[^/]+\.php$ - [F,L]
^wp-/js//langs/.+\.php - [F,L]
^wp-/theme-/ - [F,L]
八�����、隱藏的安全
1��、隱藏版
隱藏版本的好處是防止黑客根據(jù)你的版本找到相應的漏洞并發(fā)動攻擊�����。操作方法參考:
2����、重命名管理員帳號
為了防止黑客暴力破解后臺密碼���,最好不要使用默認的admin賬號�����。修改默認賬號的方法可以通過mysql命令行執(zhí)行:
mysql> SET = '' WHERE = 'admin';
或者你可以直接使用可視化����。
3、更改(表名前綴)
更改默認表名前綴wp_����,防止sql注入攻擊。
九�����、數(shù)據(jù)備份
別指望在完成以上設(shè)置后就可以高枕無憂了�,我們還是要做好數(shù)據(jù)的備份,以便在數(shù)據(jù)丟失或被黑客攻擊時能夠快速恢復�。數(shù)據(jù)備份方法請參考:
參考:
文章來自互聯(lián)網(wǎng),侵權(quán)請聯(lián)系刪除�����,文章闡述觀點來自文章出處�,并不代表本站觀點。
www.bjcthy.com
