防止最常见的WordPress安全问题:第2部分

Wordpress大师

RewriteEngine上RewriteCond % {REQUEST_URI} ^ （. *） ? wp-login \。php（. *）美元[或]RewriteCond % {REQUEST_URI} ^ （. *） ?wp-admin美元#白名单你的IP地址^你的IP1$^你的IP2$RewriteRule ^（.*）$ - [R=403,L]

替换你的IP1，你的IP2用不同的IP地址你想给访问。12。wp-config.php文件包含关于站点的最有价值的数据，因此保护它是非常重要的。有两种方法可以隐藏wp-config.php窗体黑客。

WordPress可以看到wp-config.php文件，即使它已经移动到比根目录更高的级别，所以只要移动它更高。如果您的服务器支持.htaccess，您可以向其添加以下代码。wp-config.php 为了允许,拒绝否认所有< /文件> 13。如果目录浏览被启用，黑客可以发现关于已安装的插件、主题、拷贝图像、目录结构等重要信息。因此，他们可以，例如，检查你是否使用了一个折衷的插件/主题。这就是为什么我们强烈建议禁用目录浏览，以阻止黑客获取有价值的信息。你可以通过在你的。htaccess文件中添加这一行:

Options All -Indexes

或者你可以在除根目录外的每个目录和子目录中添加一个空的index.html文件。14。设置文件和目录权限

文件和目录具有指定谁可以读、写和修改它们的权限。如果你的网站使用共享主机，错误的文件权限会让其他用户访问你的文件。请确认您没有777权限的文件。这里是文件/目录权限的建议:

755或750对于所有目录644或640对于文件600对于wp-config.php

你可以在这里阅读更多关于文件/目录权限的信息。15。禁用WordPress

中的XML-RPC允许您将您的WordPress站点连接到web和移动应用程序，但它也增加了暴力攻击的有效性:黑客可以通过一个XML-RPC调用进行100次不同的登录尝试。

如果不使用XML-RPC，请禁用它。你可以通过在你的。htaccess文件中添加以下代码来做到这一点否认,允许否认所有  

或者可以安装这个插件。16。WordPress有一个内置的代码编辑器，它可以让你从你的WordPress仪表板编辑你的主题和插件文件。如果黑客以某种方式获得了你网站的管理权限，他或她可以编辑插件和主题文件。禁用文件编辑器并通过FTP处理文件更安全。您可以通过在wp-config.php中添加以下代码行来做到这一点。

//禁止编辑文件定义（\“ DISALLOW_FILE_EDIT \“， true）;17. 我们总是在网站开发过程中启用PHP错误报告，因为我们需要它来调试。不要忘记在发布网站后禁用错误报告，因为错误消息可能包含对黑客有价值的信息。例如，它们可以获取您的服务器路径。你可以通过将这段代码添加到wp-config.php中来禁用PHP错误报告。

define（\“WP_DEBUG\“， false）;18. 隐藏WordPress版本号

WordPress在网站标题部分添加了一个元标签，其中包含WP版本的信息。例如:

如果您使用的是已知漏洞的旧版本，则尤其危险。黑客们会在网络上搜寻运行有问题的WordPress版本的网站，你的网站很容易成为攻击目标。 remove_action（\“wp_head\“， \“wp_generator\“）;只需将它添加到主题的functions.php文件中。

19。

pingback和trackback通知您的内容已被其他网站提及。你可以在这里阅读更多关于WordPress特性的内容。黑客可以使用trackbacks来组织大规模的DDoS攻击，并在你的帖子上发布垃圾评论，所以最好关闭该功能，进入设置->讨论，取消勾选“允许来自其他博客（pingbacks和trackbacks）的新文章链接通知”选项。20。遵循上面提到的建议会让你的网站非常安全。然而，你永远不可能百分百确定。就连拥有庞大安全部门的硅谷科技巨头的安全也不断受到威胁。因此，除了预防措施之外，如果需要的话，您还需要跟踪所有更改并逆转它们的选项。这是10Web安全服务的好处之一。总的来说，该服务包括:

扫描你的WordPress核心，插件和主题的漏洞;文件变更扫描，并与原文件进行比对;恢复原始文件，以防更改后的版本有问题;只要你的10Web订阅是激活的，扫描的次数是无限的;你可以安排定期的自动扫描来节省时间。

我们的软件不断扫描您的网站的漏洞和恶意软件。它跟踪您存储的所有文件中的更改，并允许您恢复它们的早期版本。这样你就可以把宝贵的时间花在网站的开发上，而不是手工进行安全检查。

您是否想要添加任何我们遗漏的安全技巧?请在评论中告诉我们!你喜欢这篇文章吗?传播这个词!留言取消回复

您的电子邮件地址将不会被公布。必填字段标记为*

您的电子邮件地址将永远不会被发布或共享。必填字段标记为*

COMMENT*

NAME *

EMAIL ADDRESS *

WEBSITE

在此浏览器中保存我的姓名、电子邮件和网站，以便下次评论时使用。









相关文章博客面临的10大问题和如何解决它们预防最常见的WordPress安全问题:第一部分什么是你的WordPress网站的理想备份计划?WordPress有了新的Gutenberg编辑器:作为一个开发者你应该做什么[更新]#10web # security