PHP技术博客要用wordpress建一个博客网站易如反掌,但就有很多人往往都比较容易忽视网站的安全。而其实网站的安全是十分重要的,所以我们要想方设法令wordpress博客网站更加安全。下面是一些保证wordpress网站安全的建议。
1.备份
在一些关于网站安全的论坛、QQ群或者圈子里,很多人都说,如果想要入侵一个网站,只要有足够的时间和决心,是完全有人可以做得到的,换句话说,没有任何一个网站是百分百安全的。正因为是这样,我们需要用备份来筑起第一道防线。
有些人可以利用一定的手段将你服务器上的所有资料清除,所以一定要记得备份,建议每天进行一次,而且要将备份文件至少保存到两种不同的存储介质上,例如,可以在你的服务器上保留一份,在你本地的电脑上保存一份,当然,你还可以选择存储到移动硬盘或者光盘等介质。
此外,还建议采用自动备份与人工备份相结合,wordpress有很多插件可以实现自动备份并将备份文件发送指定的邮箱或者下载到本地。当你需要升级网站或者安装插件之前,可以手动进行备份,以防万一。
2.更换管理员用户
暴力破解是一种常用的网站入侵方法,恶意入侵者先是猜测管理员用户的帐号,一旦找到了就使用自动脚本去尝试成千上万个密码组合,直至破解为止。
如果你为了省事使用了默认的admin作为管理员帐户,请修改,幸好修改这个是非常容易的事,只要重新创建一个用户并授予管理员的身份,然后用此用户登录并把admin用户改为投稿者就好,当然,你也可以删除它,如果你使用了admin用户发表文章,删除的时候wordpress会提示你将这些文章移到另外一个用户下面。
3.隐藏wordpress版本
有一种说法就是,人家了解你网站的信息越多,就越容易入侵,正所谓知已知彼,百战百胜。所以我们有必要隐藏我们使用的wordpress版本,因为入侵者对每一个wordpress版本的安全漏洞都是了若指掌。
要隐藏wordpress版本也不是一件困难的事,首先,我们要先禁用generator元标记,可能通过在functions.php增加以下代码来实现
function hide_wp_vers()
{
return ”;
}
add_filter(‘the_generator’,’hide_wp_vers’);
此外,入侵者还可以通过另外一种方法得知你使用的wordpress版本,就是安装目录下的readme文件,使用ftp工具连接到你的网站虚拟主机删除这一个文件。
4.禁止文件夹浏览
网站文件夹的内容是我们更加应该隐藏的,因为如果其他人可以浏览你网站的文件夹,他们就可以收集到大量关于你网站的信息,包括你使用了什么主题,安装了什么插件等等,而入侵者则可以找出这些主题或者插件的安全漏洞来攻击你的网站。
如果你的网站主机是基于linux操作系统的话,那么很容易就可以使用在你服务器根目录下的.htaccess文件来禁止文件夹被别有用心的人直接浏览,增加一个或者打开现有的,并增加以下代码:
Options -Indexes
假如你的服务器使用的并不是linux系统,你则可以通过上传一个空白的index.html文件到每一个文件夹来实现对文件夹的保护
5.经常更新wordpress版本
wordpress是开源的,所以它的源代码是公开的,所有人都可以获得到它,这让有些人可以有机可乘,从代码中找出程序的安全漏洞。有时它们可以找到一些漏洞,但wordpress组织很快就修复并发布新的版本来解决新的威胁。
所以要记得将wordpress博客网站更新到最新版本,这样可以有效减少被入侵的机会。
技术分享,技术交流,小涛与您共同成长……