除了为我的博客用户和数据库连接设置安全密码之外,我还应该做些什么来确保我的 WordPress 安装在我的 Linux 共享服务器上是安全的?
答案1
我认为最好的建议在官方的“强化 Wordpress”文档中得到了很好的解释:
https://wordpress.org/support/article/hardening-wordpress/
最后,对于每个应用程序,这些都是相同的建议:
- 保持更新。
- 使用好的密码
- 减少您要呈现的信息(版本、服务器信息等)。
如果您想通过模糊性来提高安全性(不仅是这样想,而且作为一项附加措施),本文档提供了一些想法:
答案2
确保您没有设置文件权限改为“chmod 777”,因为有些指南会要求您这样做。仔细检查您的 Web 服务器帐户或组可以写入的任何内容,并确保它们只是您希望动态更新的区域(图像、附件等)。
答案3
仅通过 SSL 连接登录。
如果你走进咖啡店并登录http://www.yourblog.com/wp-admin/您的密码以明文形式发送,任何嗅探咖啡店网络以及您与服务器之间的所有路由器的人都可以轻松看到您的密码。
如果您将博客登录页面移至安全服务器并强制用户使用 SSL 登录 https://www.yourblog.com/wp-admin/密码在发送到服务器时将被加密。
您可以向 wordpress 添加一些 PHP 代码,如下所示
if(strpos(strtolower($_SERVER['REQUEST_URL']),'wp-admin')===true
&& $_SERVER['HTTPS']!='ON')
{
Header("Location: https://www.yourblog.com/wp-admin/")
}
或者使用 .htaccess 文件来强制 SSL 登录,如下所示:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
答案4
保护你的 /wp-admin/ 目录。锁定 /wp-admin/ 目录,以便只有某些 IP 地址可以访问该目录。你可以使用 .htaccess 文件,将其直接放在 /wp-admin/.htaccess 。它看起来可能像这样:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 69.148.58.93
# whitelist work IP address
allow from 69.148.59.6
allow from 69.148.58.92
# IP while in Kentucky; delete when back
allow from 63.144.53.91
乔什