几个增强WordPress安全性的小贴士

WordPress安装以后,如果不进行一定的设置,会留下一些安全隐患。下面的小贴士就是针对这些做出的调整:

  • 管理员名称

WordPress默认的管理员名称是admin,在中文版的安装过程中,这个管理员名称是可以修改的。最好是不要使用默认的admin做为管理员的名称。

  • 及时更新

WordPress每次更新都会修正许多漏洞,所以一定要及时升级

  • 删除readme.html文件

WordPress根目录中的这个readme.html文件里面记录着你当前运行的WordPress版本号,所以请及时删除

  • 删除install文件

wp-admin/install.php这个文件在初次安装完后,就不再需要了。如果保留着,会对系统带来安全隐患。

  • 使用一个Strong的密码

这个是老生常谈了,无需多言

  • 保护wp-config.php文件

wp-config.php文件中记录了WordPress的数据库信息和其它的一些关键设置,我们可以在.htaccess文件中添加以下代码

<Files wp-config.php>

order allow,deny

deny from all

</Files>

  • 阻止对wp-includes 和wp-admin的访问

这两个文件夹中包含了我们blog的很多信息,这些信息我们通常不想让其他人看到也,不想让各种搜索引擎的爬虫索引到里面的文件结构,所以我们可以在robots.txt 中加入下面的记录

Disallow: /wp-includes

Disallow: /wp-admin

  • 从网站源代码中移除WordPress的版本号

我们在浏览器中右键点击查看源代码,可以看到里面也有我们现在正在使用的WordPress的版本号,可以在functions.php 中添加以下代码

function no_generator() { return ''; }

add_filter( 'the_generator', 'no_generator' );

  • 只允许从某个地址访问后台管理界面

注意,这个仅仅针对有固定的公网ip地址,并且确定不需要异地访问或者其它处于不同网络的设备(比如手机)访问后台管理界面的情况,如果是adsl拨号等没有固定ip地址的,请不要尝试。

在_wp-admin_文件夹中创建一个新的.htaccess文件,其内容是:

# my ip address only

order deny,allow

allow from MY IP ADDRESS (替换成你自己的固定ip地址)

deny from all

  • 禁止浏览网站目录

某些服务器默认允许访问网站的目录,可以像ftp一样列出整个网站的文件结构,所以我们需要在.htaccess文件中加入一下的代码来增加安全性

# disable directory browsing

Options All –Indexes

  • 尽量保持WordPress的清洁,尽量少装插件,不用的插件及时卸载。

插件的开发者水平良莠不齐,很难保证没有安全漏洞,即使有安全漏洞,也不一定能及时修复,所以不用的插件要及时卸载,尽量保证WordPress的清洁。

通过以上的设置,我们可以基本上保证WordPress的安全性了。