2011年9月1日星期四

WordPress初级教程-22: WordPress 安全建议与技巧

虽然wordpress 本身的安全性算比较优秀的了. 但是任何一个程序, 只要存在着, 就有被攻击的可能. 有备无患才是硬道理, 下面, 帕兰收集了国内外Wordpress爱好者给出的一些关于Wordpress安全性的建议. 看看有哪些是你还没注意但却很重要的.

1. 保持WordPress程序的最新

保持更新WordPress,这应该是最好的安全办法了。因为官方不断的进行更新, 除了增加新的功能外,及时修补安全隐患显得更为重要。而升级WordPress并不是一件可怕的事,只要在升级前记得对你的数据库进行备份就行了。哪怕在 升级中出了什么状况也能回头,防止数据丢失。如果你不很熟悉使用phpadmin进行数据备份,可以考虑使用下面的备份插件:

2. 不允许任何人搜索到你的服务器信息

1).不要在Search.php文件中使用这些搜索代码,如:

<?phpecho$_SERVER[’PHP_SELF’]; ?>

请使用下面的代码代替上面的代码:

<?phpbloginfo(’home’); ?>


3. 阻止搜索引擎搜索以WP-为开头的文件夹里面的文件

最方便的阻止方法就是在博客根目录建立robots.txt文件,并在里面添加:

Disallow: /wp-*
当然还得加上

Disallow: /*.php$
Disallow: /?s=

还得好好款待下爬虫

Does anyone care I love Google Apache htaccess
Sitemap: http://yourdomain.com/sitemap.xml

4. 不要把目录以网页列表的形式暴露出来

WordPress有一个潜在性的问题可以使得其他用户查看你的博客的插件目录以及版本号。有两种方法可以解决:

1). 在plugins和themes文件夹下面分别建一个名为index.htm的空文件就可以保护它了。
2). 在.htaccess文件里添加如下规则:

Options All -Indexes

5. 把你的版本号从Meta标签中删除掉

一般来说,默认的WordPrss以及网友制作的主题的header.php文件都会有你使用的WordPress版本号的meta标签(下面)。这极易 有可能你因没有及时升级因旧版本暴露的漏洞让黑客们利用。建议删除掉这个标签。这里还有 Matt Cutts 提出的不错建议。

<meta name=”generator”content=”WordPress <?php bloginfo(’version’); ?>” />

6. 捍卫你的wp-admin文件夹

在域名根目录中放入 robots.txt 文件,并且在文件内加入如下内容:

Disallow: /wp-admin/

7. 删除默认的admin用户

WordPress中的默认管理员为admin。在这里建议大家在blog建成后,新建一个新的用户并设置为最高的管理权限,以代替原有的admin,同时把admin删除。当然用户密码的设置也不要太简单.

8. 保护WordPress的重要文件

建议把config.php的权限设置为只读,否则别人可以通过非法获取并修改你的config.php文件,轻易把你的WordPress盗去!还有记得在每次升级WordPress后,一定要把install.php文件删去!

本文参考资源: wopus / espacy / smart

来源于 WordPress初级教程-22: WordPress 安全建议与技巧 | 帕兰映像

没有评论:

发表评论