WordPress博客安全检验以及增加安全性

最近博客模板也算是转型完毕了,增加了很多插件等,现在就该解决一下漏洞以及检测下安全的问题了。顺便告诉大家如何自检自己的博客是否安全,会不会容易被入侵。

检测安全的方法一

其实也是出于偶然,发现了一个网站:https://wpscans.com/没错,就是这个网站,他可以扫描你的Wordpress中存在的安全漏洞,让你可以及时的修复各种问题。

以本站为例,下图为检测的结果:

WordPress博客安全检验以及增加安全性。WordPress博客安全检验以及增加安全性。

以上方法基本可以把WordPress很多最新的安全漏洞以及可能爆出信息泄露的隐患给扫描出来,然后自己解决即可。如果你觉得还不够安全,可以继续往下看。

检测安全的方法二

后台密码

把你的后台密码设置的更加安全并且进行定期更换,虽然这个问题已经是老问题了,但是众多大站曾经依旧爆出密码弱密码的问题,所以还是把你的密码设置的复杂一些,以及一个月更换一次。

隐藏目录

隐藏你的安全目录,当时安装了新的WordPress博客或者从未进行隐藏目录的时候后,访问https://www.svlik.com/wp-content/plugins/将会以列表的形式把plugins目录下的文件列表出来,虽然看起来没什么不妥,但是这样如果被别有用心的人利用,那将可以针对你的插件版本进行漏洞入侵。解决方法其实也非常简单,就是在你的plugins目录下放一个空白的index.html就可以了,同理也可以在你不想让别人看到的目录下放置空白的index.html文件。

登录限制

给博客登录处设置限制,这样做的好处就是可以防止别人恶意通过字典来爆破你的密码,我们可以使用limit login attempts reloaded插件来启用这一项功能,可以位于底部进行下载汉化版。以下是效果预览与设置方法:

及时备份你的博客

通过定时的备份来备份你的博客与数据库,这样即使服务器挂了,也可以通过恢复备份来启用临时站点,直至服务器恢复。

去掉冗余的版本信息

一些模板会在header.php文件中加入以下信息来显示WordPress的版本,这样会导致别有用心的人来根据版本进行针对性的攻击,可以直接在header.php文件中删除以下代码。

[php]<meta name="generator" content="WordPress <?php bloginfo(‘version’); ?>" />[/php]

保护wp-config.PHP文件

把wp-config.php的文件权限设置成只读,这样别人不到这个文件了。如果是Linux可以在.htaccess文件中添加以下语句来防止别人查看wp-config.php文件。

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

隐藏管理员登录名

在你安装完毕WordPress的时候,就立即给管理员账号设置一个与用户名无关的昵称,并且把公开显示为设置为你的昵称,这样就可以在你发布文章和回复评论的时候显示的是你的昵称,从而达到隐藏登录名的方法。

limit-login-attempts-reloaded.2.6.3.zip (下载208)
声明:本文为原创,作者为 Svlik,转载时请保留本声明及附带文章链接:https://www.svlik.com/1062.html