是一个PHP开源的免费博客平台系统,功能强大,使用方便,受到众多博主的青睐,成为用户最多的博客系统。虽然我们在安全方面做得很好,但是我们仍然需要加强安全设置,因为漏洞肯定会存在wordpress忘记后台密码,但还没有被发现。因此,我们必须进一步加强安全性,避免因漏洞而造成不必要的损失。
一、更新
每次更新都伴随着程序漏洞的修补和安全问题的解决,因此非常有必要及时更新到最新版本,以防止黑客利用旧版本中发现的漏洞。
二、设置复杂密码
提高安全意识可以避免很多潜在的安全风险,比如密码选择。我们需要为后台选择一个强密码,以防被破解。
强密码包括:
1、至少 15 个字符
2、包括大写字母
3、包括小写字母
4、包括数字
5、 包含特殊符号,如 ` ! “? $ ? % ^ & * ( ) _ ? + = { [ } ] : ; @' ~ # | < , > . ? /
6、不能与上次密码相似
7、不能包含你的名字
8、不能包含你朋友的名字
9、不能包含家庭成员的姓名
10、不能包含你的生日、手机、身份证等。
…
我们可以通过我们的网站自动生成强密码。
三、使用 sftp 代替 ftp
Sftp 通过安全加密传输文件,防止黑客窃取敏感文件。普通的ftp是明文传输。一旦黑客成功拦截数据包,文件将以明文形式呈现。 sftp 是 sshd 的一部分,如果你有权限通过 ssh 账户管理空间,就意味着你可以使用 sftp 传输文件。
四、文件权限设置
文件权限设置参考:
文件权限设置涉及几个目录:
根目录/, /wp-admin/, /wp-/:
所有文件都应该设置成只有自己的用户账户有写权限,其他人只有读权限。
/wp-/:
用户目录,可设置为所有用户可写。
/wp-//:
主题目录,如果需要后台使用主题编辑器wordpress做网站,需要可写。
/wp-//:
插件目录,设置为只能由您的用户帐户写入。
提示:整个站点的目录不需要可写才能正常运行,所以建议将其设置为整个站点不可写。当需要自动升级,需要安装主题或插件时,可以暂时设置为可写,然后关闭写权限即可。就是这样,这是最安全的设置。
五、数据库安全
如果服务器运行多个网站并使用mysql数据库,建议为每个数据库指定一个低权限用户。数据库用户需要的权限有:Alter,,,Drop,,,.
添加mysql数据库的具体命令是:
无需远程连接:
授予 Alter,,,Drop,,, on 。 * 到 ''@'' by '';
需要远程连接:
授予 Alter,,,Drop,,, on 。 * 到 ''@'-ip' by '';
六、后台 wp-admin 安全设置
后台的安全设置 wp-admin 有人建议修改后台的地址,虽然可行,但是比较麻烦,升级也会遇到困难。因此,我们一般不建议修改后台地址。这里我们用三步来实现wp-admin后台的安全设置。
1、后端设置服务器端密码认证。
访问wp-admin后台时,需要输入用户和密码才能进入后台,防止黑客暴力破解后台密码。
nginx设置方法如下:
设置方法如下:
2、强制 ssl 登录后台。
如果你的网络不安全,如果你使用http明文登录后台,就有可能被黑客监控到用户和密码。如果使用 https 传递密码wordpress忘记后台密码,则可以避免这种潜在的安全隐患。
设置方法:
3、只允许指定ip登录后台
这应该是一个非常好的安全设置。如果可以的话,也就是你的工作地址比较固定wordpress做网站,可以只设置指定的IP或者IP段登录后台,这样会大大增强后台的安全性。
nginx设置方法:
设置方法:.
七、wp-wp-.php
对于wp-的保护,我们可以使用nginx或者nginx来禁止任何用户访问wp-files。
设置方法:
# 阻止 -only 文件。
开启
/
^wp-\.php - [F,L]
^wp-admin// - [F,L]
!^wp-/ - [S=3]
^wp-/[^/]+\.php$ - [F,L]
^wp-/js//langs/.+\.php - [F,L]
^wp-/theme-/ - [F,L]
八、隐藏的安全
1、隐藏版
隐藏版本的好处是防止黑客根据你的版本找到相应的漏洞并发动攻击。操作方法参考:
2、重命名管理员帐号
为了防止黑客暴力破解后台密码,最好不要使用默认的admin账号。修改默认账号的方法可以通过mysql命令行执行:
mysql> SET = '' WHERE = 'admin';
或者你可以直接使用可视化。
3、更改(表名前缀)
更改默认表名前缀wp_,防止sql注入攻击。
九、数据备份
别指望在完成以上设置后就可以高枕无忧了,我们还是要做好数据的备份,以便在数据丢失或被黑客攻击时能够快速恢复。数据备份方法请参考:
参考:
文章来自互联网,侵权请联系删除,文章阐述观点来自文章出处,并不代表本站观点。
www.8001717.cn