大云網信息安全安全技術正文

如何將wordpress博客安全防護做到極致

2013-10-23 16:04:20 eNet硅谷動力　點擊量：評論 (0)

WordPress起初是一款個人博客系統，并逐步演化成一款內容管理系統軟件，它是使用PHP語言和MySQL數據庫開發的，用戶可以在支持PHP和MySQL數據庫的服務器上使用自己的Blog。　　用wordpress搭建好博客以后需要

WordPress起初是一款個人博客系統，并逐步演化成一款內容管理系統軟件，它是使用PHP語言和MySQL數據庫開發的，用戶可以在支持PHP和MySQL數據庫的服務器上使用自己的Blog。

　　用wordpress搭建好博客以后需要做一些防護工作：

　　1.選擇安全可靠的主機

　　謹慎選擇一款安全可靠的主機，不要使用免費主機和劣質主機。免費主機只適合用來學習程序和建站方法，但是倡萌一直不建議使用免費主機來托管正式上線的網站。當然了，最好也不要使用那些特別廉價，管理經驗不足的主機商的服務。

　　2.升級到WordPress最新版

　　只從WordPress官方下載源碼，不要到第三方網站下載。盡可能升級到WordPress最新版，及時修補程序漏洞，包括WordPress核心源碼、WordPress主題以及WordPress插件。

　　3.使用官方WordPress主題和插件

　　這里所說的官方，一是WordPress官方，二是主題或插件開發者的官方，盡量避免使用“破解”版主題、插件，慎用網上傳播的原本是收費，但是被人惡意提供免費下載的主題、插件。

　　4.修改數據庫默認前綴wp_

　　很多朋友安裝WordPress都沒有修改數據庫前綴，如果你打算修改默認的前綴wp_，請根據如何修改WordPress數據庫前綴來修改。

　　5.修改默認的用戶名admin

　　WordPress3.*以上已經支持安裝時自定義登錄用戶名，如果你使用默認的admin，建議你根據下面的方法進行修改：

　　方法一：后臺新建一個用戶，角色為管理員，然后使用新用戶登錄，刪除默認的admin用戶。

　　方法二：登錄phpmyAdmin，瀏覽當前數據庫的wp_users數據表，將user_login和user_nicename修改為新用戶名。同時建議修改“我的個人資料”中的的昵稱，然后設置“公開顯示為”非用戶名的其他方式：

　　6.使用高級密碼，經常更換密碼

　　建議使用含大寫字母、小寫字母、數字和其他符號的復雜密碼，比如nuH4j&*aHG%dMz，避免使用生日、手機號、QQ號等。

　　7.隱藏WordPress版本信息

　　默認情況下會在頭部輸出WordPress版本信息，你可以在主題的functions.php最后一個?>前面添加：

　　//隱藏版本號

　　functionwpbeginner_remove_version(){

　　return'';

　　}

　　add_filter('the_generator','wpbeginner_remove_version');

　　8.修改wp-admin目錄的訪問權限

　　你可以通過限定IP地址訪問WordPress管理員文件夾來進行保護，所有其他IP地址訪問都返回禁止訪問的信息。另外，你需要放一個新的.htaccess文件到wp-admin目錄下，防止根目錄下的.htaccess文件被替換。

　　9.定期備份網站數據

　　可以借助WordPress備份插件進行自動備份或手動備份：WordPress數據庫定時備份插件：WordPressDatabaseBacku

　　使用WordPress自帶導出導入功能備份和恢復網站

　　WordPress克隆/備份/搬家插件：WPClone

　　WordPress超強備份插件：BackWPup（支持FTP/Email/本地/網盤）

　　10.安裝安全插件

　　WordPressFirewall2該插件可以幫助你識別/阻止一些有效的攻擊，例如目錄掃描、SQL注入、WP文件掃描、PHPEXE掃描等，并可將其定向到404或者首頁。如果有問題還可以通過電子郵件通知你處理，還可以阻止一些IP的訪問。

　　BetterWPSecurity由于大多數的WP網站存在插件漏洞、弱口令、過時的插件/程序，隱藏這些漏洞可以更好的保護網站，例如保護登錄和管理區(控制面板？儀表盤？)。LoginLockdown這個插件可以記錄失敗的登錄嘗試的IP地址和時間，若是來自某一個IP地址的這種失敗登錄超過一定條件，那么系統將禁止這一IP地址繼續嘗試登錄。

　　LimitLoginAttemptsLimitLoginAttempts限制登錄嘗試的次數來防止暴力破解，增強WordPress的安全系數。

　　WPSecurityScan該插件會自動按照以上的安全建議對WordPress進行安全掃描，查找存在的問題。

　　11.修改WordPress后臺登錄地址

　　將下面的代碼添加到當前主題的functions.php文件：

　　//保護后臺登錄

　　add_action('login_enqueue_scripts','login_protection');

　　functionlogin_protection(){

　　if($_GET['word']!='press')header('Location:http://www.malayke.org/');

　　}這樣一來，后臺登錄的唯一地址就是http://yoursite/wp-login.php?word=press，如果不是這個地址，就會自動跳轉到http://www.malayke.org/，不信你試試！你可以修改第4行的Word、press和http://www.malayke.org/這三個參數。

　　12.避免WordPress泄露你的用戶名

　　你有沒有想過，如果你的網站的登陸名被別人知道了，偏偏他是一個比較精通WordPress的人，而且會寫腳本暴力破解，那么后果就不堪設想。實際上，Wordpress這么一個漏洞，至今依然存在，并且常常會被黑客利用

　　想要知道WordPress的管理員用戶名？很簡單，只要在網站的域名后面加/?author=1就行了。

　　如果/?author=1顯示404界面，那很可能是以前有過admin用戶，后來站長發現用默認帳戶admin太不安全了，就新建了一個管理員帳戶，并刪除了admin帳戶。這種情況下，用/?author=2就能顯示出用戶名了。如果使用admin帳戶，確實不安全，但是如果你的博客使用一個復雜的用戶名，卻經不起這么簡單的一個URL的考驗，這和使用admin帳戶沒有根本上的區別。既然存在漏洞，那么就要去填補它。要填補這個漏洞，倒還真的不是什么難事。我的思路就是，只要訪問主頁url后頭有author參數就讓他跳到主頁

　　將下面的代碼添加到當前主題的functions.php文件：

　　add_filter('author_link','my_author_link');

　　functionmy_author_link(){

　　returnhome_url('/');

　　}

　　呵呵，大家有沒有發現這個思路上面修改WordPress后臺登錄地址是一樣的原理？

　　至此，有了以上的防護工作，你辛辛苦苦搭建的wp博客就不會沒那么容易的被黑闊光顧。