安全是所有网站站长都必须注意的问题,wordpress作为最流行的网站程序,有很多保障安全性能的设置,下面小编就来带大家捋一捋。
别让其他人拥有”写入”你 WordPress 目录的权限
登入你的 WordPress 网站 Linux 系统列,执行以下指令来取得所有「公开」、其他用户皆能写入的目录清单。
find . -type d -perm -o=w
你也许可以执行以下两行指令,来将你 WordPress 内的档案和目录设定为正确的权限(参考资料)。
find /your/wordpress/folder/ -type d -exec chmod 755 {} \;
find /your/wordpress/folder/ -type f -exec chmod 644 {} \;
对目录来说,755(rwxr-xr-x) 意味著只有拥有者具备写入权限,其他人只有读取和执行的权限。对档案来说,644 (rw-r–r–) 意味著只有档案拥有者具备读取和写入权限,其他人为唯读。
重新命名你的 WordPress 资料表前缀
如果你使用预设选项来安装 WordPress 的话,你的 WordPress 资料表应该会像是 wp_posts 或 wp_users。将资料表的前缀(wp_)更改为其他随机值是比较好的作法,外挂2Change DB Prefix2可以让你在弹指之间重新命名你的资料表前缀。
防止使用者浏览你的 WordPress 目录结构
这狠重要。开启你 WordPress 根目录底下的 .htaccess 档案,然后在最上方加入这行。
Options -Indexes
这能够防止其他人在能建立档案清单时看到你资料夹内的所有档案。例如目录下缺少预设的 index.php 或 index.html时。
保留 WordPress PHP 和资料库错误记录
从错误记录有时候可以发现针对你WordPress所发出的无效资料库查询或档案查询。我更喜欢外挂Error Log Monitor,因为它能定期透过 Email 发送错误日志到你的信箱,也能显示于你的 WordPress 控制台。
要在WordPress启用错误日志功能,将以下程式码加入你的wp-config.php 档案,记得要把2/path/to/error.log替换为你的日志文件实际路径。error.log 应该放在无法直接从浏览器存取得到的目录。(参考资料)
define('WP_DEBUG', true);
if (WP_DEBUG) {
define('WP_DEBUG_DISPLAY', false);
@ini_set('log_errors', 'On');
@ini_set('display_errors', 'Off');
@ini_set('error_log', '/path/to/error.log');
}
以密码保护 Admin 控制台
使用密码来保护 wp-admin 目录是一个不错的方法,因为浏览你的公开 WordPress 网站并不需要用到这目录下的任何档案。一旦设定完成,即使是授权的用户也需要输入两道密码才能登入他们的 WordPress 控制台。
使用外挂来监控你的 WordPress 网站
WordPress.org 外挂库包含不少好用的安全相关外挂,可以持续监控你的 WordPress 网站是否有被入侵,或是其他可疑活动。这些是我会建议使用,也较为基本的安全外挂。
Exploit Scanner – 它会迅速扫描你的所有 WordPress 档案和文章,并列出潜藏恶意程式码的。例如垃圾链结可能会使用 CSS 或 IFRAME 方式隐藏在你的 WordPress 网志文章里,而这个外挂可以将它们找出来。
WordFence Security – 这是一个非常强大、且应该使用的安全外挂。它会比对你 WordPress 的核心档案和原始档案间是否已被修改。而且,该外挂会锁定尝试登入你的网站却失败的使用者。
WordPress Sentinel – 另一个实用的外挂,可以监控你的 WordPress 档案,当有任何档案被加入、删除或修改时会发出警告。
WP Notifier – 如果你不常登入你的 WordPress 控制台,那这外挂适合你。它会在你安装的背景主题、外挂和 WordPress 核心有新的更新时以 Email 通知你。
VIP Scanner – “官方”安全外挂将扫描你的 WordPress 背景主题有无任何问题,它也能检测出有无任何的广告程式码被注入你的 WordPress 背景主题里。
小技巧:你也可以使用以下 Linux 指令来列出近三天被修改的档案清单。将 mtime 改为 mmin 可以看到 “n” 分鐘前被修改的档案清单。
find . -type f -mtime -3 | grep -v "/Maildir/" | grep -v "/logs/"
提高WordPress 登入页面安全性
你的 WordPress 登入页面是每个人都可以存取的,但如果你想防止未授权的使用者登入 WordPress,你有以下三种选择。
使用 .htaccess 加入密碼保護 – 在 WordPress 認證以外加入另一道帳號密碼來保護你的 wp-admin 目錄。
Google Authenticator – 這出色的外掛能為你的 WordPress 加入兩步驟驗證功能。除了輸入正確的密碼外,還必須搭配手機應用程式來輸入隨機產生的驗證碼。
Login Dongle – 這個外掛使用一個非常獨特的方法來保護你的 WordPress。它能產生一個書籤列(加上秘密問題),你可以將它加入瀏覽器。當你要登入 WordPress 時,輸入你的密碼並按下書籤列才能登入 WordPress – 登入頁面的按鈕將無法使用。
