大约一半的WordPress网站是自主托管的,他人托管的网站(例如wordpress.com)有自己的安全措施,自主托管就不能偷懒了,这里有4个方法可以让你的WordPress网站更安全。
1. 防SQL注入和URL写入
WordPress是基于数据库和PHP的程序,这俩个根基都可以让WordPress变的容易侵入。WordPress要通过URL传递很多参数,平时我们开启友好的固定链接,对URL参数并不敏感,但骇客不一样,他们可以通过修改URL参数做一些未经授权的活动。通过给URL传递参数,甚至可以影响WordPress的数据库操作,获得敏感信息,甚至得到不该有的权限。
对于建立在Apache服务器上的WordPress站点,可以向.htaccess文件中添加规则防止通过URL攻击。
2. 删除默认管理员账户,
WordPress默认的管理员用户名是admin,如果你还在使用这个名字,等于帮了骇客一把,虽然他们仍然要破解密码,至少可以省去猜测用户名的麻烦了。对于暴力破解的人, 省的时间不止一点点。
修改管理员账户,在后台->用户新建一个账户,名字起得奇怪一点复杂一点,将此用户设置为管理员,然后用此用户登陆,删除admin账户.
3. 修改WordPress数据库的默认前缀
WordPress数据库默认的前缀是wp_,你可以在安装WP的时候更改前缀,加上一个随机字符串。如果你已经用默认前缀安装了,也可以更改,手动更改需要操作数据库,至少要懂得如何使用phpmyadmin,幸好有一款插件可以帮你解决这个问题Better WP Security。4. 防止暴力破解登陆用户名密码
即使你使用了复杂的用户名密码,也不能保证骇客不去暴力破解你的后台登陆信息。即使他们无法登陆,暴力破解也会给服务器造成压力,使正常访问的用户体验降低。所以你可以安装一个插件Limit Login Attempts限制登陆重试次数,当然Better WP Security也有此功能。如果你的WP网站很重要值得你花更多的钱保护,不妨考虑购买SSL,将登陆页面加密,具体参考Administration Over SSL。