0
wordpress安全建议(转贴)
WordPress现在变得越来越流行了,如果你也使用WordPress,有没有想过你的WordPress安全吗?它会不会有一天因受攻击而倒下呢?下面我搜集了一些简单方法让你的WordPress变得安全一点!
保持更新WordPress
让你的WordPress程序保持最新现在WordPress的最新版本号是2.6.3,你已经升级了吗?保持更新WordPress,这应该是最好的办法了。因为官方不断的进行更新,除了增加新的功能外,及时修补安全隐患显得更为重要。还有记得在每次升级WordPress后,一定要把install.php文件删去!而升级WordPress并不是一件可怕的事,只要在升级前记得对你的数据库进行备份就行了。哪怕在升级中出了什么状况也能回头,防止数据丢失。
定期备份博客的数据库,这是一个持久的事情,你需要经常性的或者定期性的备份你博客的数据库, 如果你不很熟悉使用phpadmin进行数据备份,可以考虑使用下面的备份插件:wp-db-backup
保护WordPress的重要文件和重要的文件夹
建议把config.php的权限设置为只读,否则别人可以通过非法获取并修改你的config.php文件,轻易把你的WordPress盗去!
WordPress的目录安全吗?Andor在他的文章中指出, 在搜索引擎中搜索关键字”Index of /wp-content/plugins”, 得到的结果将是大堆的WordPress插件目录.我试了下, 果然, 在Google.com搜索得到了约569,000条记录. 大站的小站的, 各式各样主机上的, 应有尽有. 更有趣的是, 随意点击一条记录, 该站安装的插件列表就出来了.解决的方法可以通过设置主机目录访问权限来禁止非法访问, 也可以在目录下放入一个空白的或自己写的index.php或index.html. 可能存在此类问题的目录还有很多, themes目录, wp-admin下面的子目录等等.
使用 .htaccess 提高 WordPress 的安全性和可用性
保护 .htaccess 自身的安全性。阻止用户通过读取和写入 .htaceess 来更改安全性的设置。
order allow,deny
deny from all
保护 wp-config.php 文件。我们可以通过 .htaccess 文件阻止用户读取和写入 WordPress 的主配置文件。这个指令假设 WordPress 是安装在站带你的根目录。
order allow,deny
deny from all
禁止浏览目录。
这将阻止服务器在没有找到 index 文件(如 index.html,index.php 等等)的情况下显示文件夹目录内容。这能阻止用户看到文件夹的内容使得更难对网站发动攻击。
# disable directory browsing
Options All -Indexes
防止图片盗链。
这个能够阻止其他网站盗链本网站的图片,迫使他们 要么指向整个页面,或者其他存储图像的地方。这个保存了宝贵的带宽并且能够增加流量(虽然只是一点点)。下面的代码将会显示 stealingisbad.gif 这张图片,当有人试着热链到到你的网站来显示图片
#disable hotlinking of images
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?yourdomain.com/.*$ [NC]
#RewriteRule \.(gif|jpg|png)$ [R,L]
在你的站点给每个 URL 设置符合规定的或者“标准”的链接。这能够帮助提高网站的可用性和提高网站在搜索引擎中的排名。总之,它会把来自 http://yourdomain.com 的请求重定向到 http://www.yourdomain.com/.
# set the canonical url
RewriteEngine On
RewriteCond %{HTTP_HOST} ^yourdomain\.com$ [NC]
RewriteRule ^(.*)$ http://www.yourdomain.com/$1 [R=301,L]
用一个robots文件
在你的根目录下放一个robots.txt 文件,告诉搜索引擎哪些内容你不想被收录。这样可以保证一些敏感文件不被搜索引擎收录进而被人搜到。这里是我的robots.txt文件,文章作者的robots.txt如下:
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /trackback
Disallow: /feed
Disallow: /comments
Disallow: */trackback
Disallow: */feed
Disallow: */comments
Allow: /wp-content/uploads
过滤垃圾评论
垃圾评论的害处我想就不用说了,而且它们更有可能带有一些危害你网站的代码什么的,所以一定要把垃圾评论过滤掉。插件和相关资源:Akismet
用户权限的安全
WordPress中的默认管理员为admin。在这里建议大家在blog建成后,新建一个新的用户并设置为最高的管理权限,以代替原有的admin,同时把admin删除。WordPress提供让访客自己注册帐号的功能,建议把该功能取消或者限制其它用户权限为只能发表文章。取消方法,进入WordPress后台:选项-常规,把“允许用户注册去”留空!删除默认的admin用户
隐藏wordpress版本信息
wp默认主题首页都有版本信息,黑客们会了解你使用的版本后找相应的漏洞。隐藏的方法是在后台主题修改里删掉下面的代码:
< meta name=”generator” content=”WordPress ”/>
Posted on 08:07:00 by Freddy and filed under
网络安全
一个朋友用wordpress做的BLOG被黑了,数据恢复不了 还没有备份,损失惨重,好长时间的心血都废了,就找了一篇有关的文章,觉得不错,希望对大家有所帮助:wordpress安全建议(转贴)
WordPress现在变得越来越流行了,如果你也使用WordPress,有没有想过你的WordPress安全吗?它会不会有一天因受攻击而倒下呢?下面我搜集了一些简单方法让你的WordPress变得安全一点!
保持更新WordPress
让你的WordPress程序保持最新现在WordPress的最新版本号是2.6.3,你已经升级了吗?保持更新WordPress,这应该是最好的办法了。因为官方不断的进行更新,除了增加新的功能外,及时修补安全隐患显得更为重要。还有记得在每次升级WordPress后,一定要把install.php文件删去!而升级WordPress并不是一件可怕的事,只要在升级前记得对你的数据库进行备份就行了。哪怕在升级中出了什么状况也能回头,防止数据丢失。
定期备份博客的数据库,这是一个持久的事情,你需要经常性的或者定期性的备份你博客的数据库, 如果你不很熟悉使用phpadmin进行数据备份,可以考虑使用下面的备份插件:wp-db-backup
保护WordPress的重要文件和重要的文件夹
建议把config.php的权限设置为只读,否则别人可以通过非法获取并修改你的config.php文件,轻易把你的WordPress盗去!
WordPress的目录安全吗?Andor在他的文章中指出, 在搜索引擎中搜索关键字”Index of /wp-content/plugins”, 得到的结果将是大堆的WordPress插件目录.我试了下, 果然, 在Google.com搜索得到了约569,000条记录. 大站的小站的, 各式各样主机上的, 应有尽有. 更有趣的是, 随意点击一条记录, 该站安装的插件列表就出来了.解决的方法可以通过设置主机目录访问权限来禁止非法访问, 也可以在目录下放入一个空白的或自己写的index.php或index.html. 可能存在此类问题的目录还有很多, themes目录, wp-admin下面的子目录等等.
使用 .htaccess 提高 WordPress 的安全性和可用性
保护 .htaccess 自身的安全性。阻止用户通过读取和写入 .htaceess 来更改安全性的设置。
order allow,deny
deny from all
保护 wp-config.php 文件。我们可以通过 .htaccess 文件阻止用户读取和写入 WordPress 的主配置文件。这个指令假设 WordPress 是安装在站带你的根目录。
order allow,deny
deny from all
禁止浏览目录。
这将阻止服务器在没有找到 index 文件(如 index.html,index.php 等等)的情况下显示文件夹目录内容。这能阻止用户看到文件夹的内容使得更难对网站发动攻击。
# disable directory browsing
Options All -Indexes
防止图片盗链。
这个能够阻止其他网站盗链本网站的图片,迫使他们 要么指向整个页面,或者其他存储图像的地方。这个保存了宝贵的带宽并且能够增加流量(虽然只是一点点)。下面的代码将会显示 stealingisbad.gif 这张图片,当有人试着热链到到你的网站来显示图片
#disable hotlinking of images
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?yourdomain.com/.*$ [NC]
#RewriteRule \.(gif|jpg|png)$ [R,L]
在你的站点给每个 URL 设置符合规定的或者“标准”的链接。这能够帮助提高网站的可用性和提高网站在搜索引擎中的排名。总之,它会把来自 http://yourdomain.com 的请求重定向到 http://www.yourdomain.com/.
# set the canonical url
RewriteEngine On
RewriteCond %{HTTP_HOST} ^yourdomain\.com$ [NC]
RewriteRule ^(.*)$ http://www.yourdomain.com/$1 [R=301,L]
用一个robots文件
在你的根目录下放一个robots.txt 文件,告诉搜索引擎哪些内容你不想被收录。这样可以保证一些敏感文件不被搜索引擎收录进而被人搜到。这里是我的robots.txt文件,文章作者的robots.txt如下:
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /trackback
Disallow: /feed
Disallow: /comments
Disallow: */trackback
Disallow: */feed
Disallow: */comments
Allow: /wp-content/uploads
过滤垃圾评论
垃圾评论的害处我想就不用说了,而且它们更有可能带有一些危害你网站的代码什么的,所以一定要把垃圾评论过滤掉。插件和相关资源:Akismet
用户权限的安全
WordPress中的默认管理员为admin。在这里建议大家在blog建成后,新建一个新的用户并设置为最高的管理权限,以代替原有的admin,同时把admin删除。WordPress提供让访客自己注册帐号的功能,建议把该功能取消或者限制其它用户权限为只能发表文章。取消方法,进入WordPress后台:选项-常规,把“允许用户注册去”留空!删除默认的admin用户
隐藏wordpress版本信息
wp默认主题首页都有版本信息,黑客们会了解你使用的版本后找相应的漏洞。隐藏的方法是在后台主题修改里删掉下面的代码:
< meta name=”generator” content=”WordPress ”/>
发表评论