WordPress 三个必须的安全措施

1 确保/wp-admin/文件夹的安全

 

您或许已经知道，WordPress的很多重要信息都放在/wp-admin/文件夹里面。WordPress允许这个文件夹公开，因此，别人如果掌握这个文件夹里的文件，他或她就可以访问这些文件。

 

Matt建议在/wp-admin/文件夹里面建立一个.htaccess文件，从而阻止除了您自己以外的所有IP的访问。＜/p＞

以下是.htaccess中需要包括的代码：

 

 

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx（填写您自己的IP——精博注）
allow from xx.xx.xxx.xx（填写您自己的IP——精博注）
</LIMIT>

 

 

2 隐藏您的插件

 

许多WordPress插件都存在缺陷和漏洞，这些缺陷和漏洞如果给人利用，就会破坏您的网站，所以，您最不想发生的就是被别人知道您装了什么插件。

 

如果您访问大多数博客的/wp-content/plugins/文件夹，您将可以看到这些博客使用的所有插件。为了隐藏您的插件，您只需要在/wp-content/plugins/文件夹里建立一个index.html的空白文件。

 

3 坚持安装补丁和更新

 

许多博客或许都已经这样做了。保持WordPress的更新就会相安无事。Matt建议我们订阅WordPress开发博客 。

最后的附加措施 是，去掉网页标头（header）的WordPress版本的元标识（Meta tag)。

 

您还知道WordPress需要哪些安全措施吗？

更新： 冲浪的时候，我发现一个叫做Login LockDown 的WordPress插件，这个插件主要的功能是跟踪网站登录次数。如果同一个IP地址在短时间内的登录次数太频繁，这个插件就会禁止那个IP的登录。这对避免密码被强行破解很有用。

 

精博寄语：

1 原文：3 Must Apply Security Tips for WordPress

2 原文作者：每日博客技巧 的Daniel。

3 关于第一点，Matt是这样写的：

 

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic

<LIMIT GET>
order deny,allow
deny from all
# whitelist home IP address
allow from 64.233.169.99
# whitelist work IP address
allow from 69.147.114.210
allow from 199.239.136.200
# IP while in Kentucky; delete when back
allow from 128.163.2.27
</LIMIT>

 

 

4 关于附加措施，Matt原文是说把下面代码删掉：

 

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

 

 

或者至少删掉

 

<?php bloginfo(’version’); ?>。

 

5 可见，每日博客技巧 的转载也有一套。

6 如果您经常在不同的地方使用WordPress,IP有好几个，那么，第一点应用起来就有点麻烦。