如何提高Wordpress网站安全性?
WordPress是当下最流行的博客系统和内容管理系统,也是很多黑客经常出没的聚集地。拥有一个Wordpress网站意味着你需要多做些努力来保护个人信息和网站数据。以下是Wordpress团队总结出来的几个保证网站安全的最佳实力。必须要说的一点是,这些要点是不能保证网站百分之百不受黑客攻击,因为几乎可以说没有百分之百安全的网站,但是它们可以保护你的网站在绝大多数情况下是安全的。
- 更新WordPress网站和插件
更新Wordpress核心文档和所有插件到最新版本是极其重要的。大多数新版的Wordpress和插件都含有安全补丁。即便这些漏洞不会轻易出现应用不当的情况,但是及时修复还是很重要的。更多信息请查看Wordpress教程 how to update WordPress and how to use WordPress auto updates.
- 保护好WordPress管理权限
限制WordPress后台的管理权限,只给需要访问的人权限。(根据工作性质的不同授予工作人员不同的操作权限)如果你的网站不涉及注册或前端内容创建,访客是没有权限访问/wp-admin/ 文件夹或 wp-login.php 文档。最好的方法是获取你家里的IP地址(可以用像whatismyip.com 的IP地址),并在WordPress管理文件夹里添加以下几列到.htaccess文档,用IP地址替换掉xx.xxx.xxx.xxx 。
- <Files wp-login.php>
- order deny,allow
- Deny from all
- Allow from xx.xxx.xxx.xxx
- </Files>
1)如果你想要设置在多台电脑上的管理权限(比如办公电脑,家用电脑,笔记本等),只需另外添加一行执行命令“Allow from xx.xxx.xxx.xxx ”。
2)如果你想要设置在任何IP地址上的管理权限,比如你通常连接的是无线网络。(在一个IP地址或者几个IP地址上限制管理员管理权限是不方便的。)在这种情况下我们推荐你采用限定尝试允许错误登录次数的方法,这样就可以保护你的网站免受强力攻击并对试图猜测网站正确登录密码的人们施以干扰。为此,你可以使用WP Limit login attempts插件。
- 不要用 “admin”作为用户登录名
大多数黑客可以断定你的用户名是”admin”。使用其它不同的登录名可以帮你轻松阻止很多强力攻击和其它攻击。如果你在安装新版的WordPress,在WordPress installation (安装)过程中会询问你的用户登录名。如果你已经有WordPress网站,你可以参考how to change your WordPress username 教程修改掉”admin”登录名。
- 使用安全性高的密码
很多人喜欢使用”password” 或 “123456”作为登录密码。不用说,这样的密码毫无难度也很容易被破解。比较好的方法就是使用方便记忆且对你来说有意义的整个句子。这样的密码安全系数比单一短语高多了。
- 确保你的电脑没有病毒和恶意软件
如果你的电脑感染了病毒或恶意软件,一个潜在的攻击者可以成功跳过之前你所设置的保护措施获取你的登录信息并成功登录到网站(而你却毫无察觉)。这就是为什么最新的防病毒程序和保持所有连接到WordPress站点的电脑的整体安全性在一个高水平上是如此重要的。