本文将为大家介绍10个小诀窍来提高WordPress博客的安全性。WordPress用户都知道wp-config.php文件的重要性,它保存了所有的配置信息:用户名、密码等等。所以控制对 wp-config.php 的访问权限就变得尤为必要。
安全是永恒的话题,在互联网上更是如此,本文将为大家介绍10个小诀窍来提高WordPress博客的安全性。
1.删除错误提示。
当我们登录WordPress后台失败时会显示错误信息。如果有人想攻击你的博客那么他们会从错误提示里得到很多有用的信息,我们需要做的就是不显示任何信息。
解决:打开 functions.php 文件并添加如下代码:
add_filter('login_errors',create_function('$a', "return null;"));
这段代码可以让返回的错误信息为空。
2.使用SSL。
如果你担心数据泄露或被截获,那就使用SSL连接方式吧。但是之前请确保博客主机支持SSL,如果不支持请直接跳过本条。
解决:打开 wp-config.php 文件(一般位于根目录)添加以下代码:
define('FORCE_SSL_ADMIN', true);
我们定义了FORCE_SSL_ADMIN常数,其值设置为true。这样就在WordPress里开启了SSL。
3.用.htaccess 保护配置文件。
WordPress用户都知道wp-config.php文件的重要性,它保存了所有的配置信息:用户名、密码等等。所以控制对 wp-config.php 的访问权限就变得尤为必要。
解决:在修改.htaccess文件前请先备份,然后打开并粘贴下面代码:
order allow,denydeny from all
修改后会拒绝任何对 wp-config.php 文件的访问。
4.建立访问黑名单。
是不是常被一些垃圾评论制造者所烦恼?如果是,需要做的就是屏蔽他们的IP,让他们再也无法访问你的博客。
解决:修改.htaccess文件添加以下代码,事前别忘备份。
order allow,denyallow from alldeny from 123.456.789deny from 93.121.788deny from 223.956.789deny from 128.456.780
修改后上面这些IP就会被限制访问。
5.防止脚本注入。
脚本注入往往用来窃取用户信息,如果攻击者一旦得逞大多数情况下造成的损失很难挽回。
解决:依旧是.htaccess 文件添加以下代码,事先备份。
Options +FollowSymLinksRewriteEngine OnRewriteCond %{QUERY_STRING} (\%3E) [NC,OR]RewriteCond %{QUERY_STRING} GLOBALS(=\[\%[0-9A-Z]{0,2}) [OR]RewriteCond %{QUERY_STRING} _REQUEST(=\[\%[0-9A-Z]{0,2})RewriteRule ^(.*)$ index.php [F,L]
修改后所有的请求都会被检查是否包换脚本段,如果包含就会拒绝请求返回403错误。