• wordpress建站不得不知的安全防护(二)


    在浏览器中打开 http://你的WordPress安装地址/wp-admin/images/ 看看有什么效果?

    在浏览器中打开 http://你的WordPress安装地址/wp-admin/ ,随意输入用户名和密码,看看你的博客允许你输错多少次?

    在images/目录下放置一个index.html或index.php

    index.html放置跳转到404的代码

    一、设置一个安全的密码

    虽然这已经是老生常谈了,但是还是建议给你的 WordPress设置一个安全的密码,最好给WordPress设置一个单独的密码,即这个密码在别的地方还没有用过。

    二、隐藏你的目录

    假设你的博客地址是www.your.com ,默认情况下,如果访问这个网址www.your.com/wp-content/plugins,将会以列表的形式把plugins目录下的文件列出来,这样别人就轻而易举的知道你安装了哪些插件,黑客可能会利用这些插件的漏洞来攻击你的网站,那可不好!安全做法是在这个目录下放入一个空白的index.html。同样也可以在其他你不想让别人看到的目录中放置index.html,例如wp-content

    三、使用Login Lockdown插件

    如果别人不知道你的密码,他又想非法登录你的博客后台,那他一般会选择暴力破解你的密码,即一个一个地试,直到破译你的密码为止。使用Login Lockdown插件在一定程度上阻止别人测试你的密码,如果探测到一个 IP 段在一时间段内登录失败的次数超过了某一数目,就会自动锁定其登录功能,并禁止此 IP 段的使用者登入系统。这个登录失败的次数和限制登录的时间间隔等,都可以在你的后台设置。

    四、及时备份你的博客

    使用WordPress Database Backup插件可以很方便的备份你的博客数据库,可以选择两种方式备份:一、备份到你的网站空间的某个目录下;二、把备份文件发送到你的邮箱。我是把备份文件发送到我的邮箱,这样可以防止网站服务器挂了,备份也没了.

    五、去除header.php中的版本信息

    普通模板会在header.php中加入如下信息来显示使用中的WP版本,这样不良企图的人会根据版本来进行攻击。把下面的代码删除:

    1
    <meta name="generator" content="WordPress <?php bloginfo(‘version’); ?>" />

    六、保护 wp-config.php 文件

    将wp-config.php的权限设置为只读,这样一般别人就看不到了。另外你可以在.htaccess 文件中加入以下语句来防止其它人浏览到 wp-config.php 文件:

    1
    2
    3
    4
    5
    # protect wpconfig.php
    <files wp-config.php>
    Order deny,allow
    deny from all
    </files>

    七、更改登录用户名,隐藏你的登录名

    安装好WordPress 后,就应该立刻使用自己的用户名和密码创建另一个有管理员权限的用户,并将 "admin" 用户删除。WordPress 中有一个很好的方法,就是可以隐藏你的登录名。在"用户"设置中,你可以把你的"对外显示为"更改为你的昵称,这样在你发布文章的时候,给访客回复的时候,显示的就是你的昵称,而不是你的后台登录名。

  • 相关阅读:
    采用软件负载均衡器实现web服务器集群
    MS Server 定时备份
    项目失败的若干征兆
    理解SQL Server中的权限体系
    项目管理思考 权利
    基于'sessionStorage'与'userData'的类session存储
    Fit健身APP与HarmonyOS创新合作 打造全新在线健身体验
    #2020征文手机#HarmonyOS轻量级偏好数据库初体验
    鸿蒙HarmonyOS应用开发落地实践,Harmony Go 技术沙龙落地北京
    【2021年1月16日公开课】分布式家庭记账本Demo分享,干货满满!
  • 原文地址:https://www.cnblogs.com/ypppt/p/13256595.html
Copyright © 2020-2023  润新知