說說wordpress博客的安全防禦

用一首詩開始個人博文：

那時咱們有夢，關於文學，關於愛情，關於穿越世界的旅行。現在咱們深夜飲酒，杯子碰到一塊兒，都是夢破碎的聲音。

——北島

也許咱們沒法明白「活着」的意義，可是咱們已經爲「活着」付出了太多代價；也許咱們沒法實現本身的夢想，可是咱們已經爲夢想流下了太多淚水。咱們能作的，僅僅是在這條路上走得更遠，毫不能回頭。天堂未必在前方，但地獄必定在身後。

—— 程浩

WordPress簡介

WordPress起初是一款我的博客系統，並逐步演化成一款內容管理系統軟件，它是使用PHP語言和MySQL數據庫開發的，用戶能夠在支持 PHP 和 MySQL數據庫的服務器上使用本身的 Blog

——來自百度百科

---

本博客就是用wordpress搭建的，搭建好之後作了一些防禦工做，因此把這點經驗分享給你們

1.選擇安全可靠的主機

---

謹慎選擇一款安全可靠的主機，不要使用免費主機和劣質主機。免費主機只適合用來學習程序和建站方法，可是倡萌一直不建議使用免費主機來託管正式上線的網站。固然了，最好也不要使用那些特別廉價，管理經驗不足的主機商的服務。

2.升級到WordPress最新版

---

只從WordPress官方下載源碼，不要到第三方網站下載。儘量升級到WordPress最新版，及時修補程序漏洞，包括WordPress核心源碼、WordPress主題以及WordPress插件。

3.使用官方WordPress主題和插件

---

這裏所說的官方，一是WordPress官方，二是主題或插件開發者的官方，儘可能避免使用「破解」版主題、插件，慎用網上傳播的本來是收費，可是被人惡意提供免費下載的主題、插件。

4.修改數據庫默認前綴 wp_

---

不少朋友安裝WordPress都沒有修改數據庫前綴，若是你打算修改默認的前綴 wp_ ，請根據 如何修改 WordPress 數據庫前綴 來修改。

5.修改默認的用戶名 admin

---

WordPress 3.* 以上已經支持安裝時自定義登陸用戶名，若是你使用默認的admin，建議你根據下面的方法進行修改：

方法一：後臺新建一個用戶，角色爲管理員，而後使用新用戶登陸，刪除默認的 admin 用戶。方法二：登陸phpmyAdmin，瀏覽當前數據庫的 wp_users 數據表，將 user_login 和 user_nicename 修改成新用戶名。

同時建議修改 「個人我的資料」中的的暱稱，而後設置「公開顯示爲」非用戶名的其餘方式：

6.使用高級密碼，常常更換密碼

---

建議使用含 大寫字母、小寫字母、數字和其餘符號 的複雜密碼，好比 nuH4j&*aHG%dMz ，避免使用生日、手機號、QQ號等。

7.隱藏WordPress版本信息

---

默認狀況下會在頭部輸出WordPress版本信息，你能夠在主題的 functions.php 最後一個 ?> 前面添加：

//隱藏版本號function wpbeginner_remove_version() {return '';}add_filter('the_generator','wpbeginner_remove_version');

8.修改wp-admin目錄的訪問權限

---

你能夠經過限定IP地址訪問WordPress管理員文件夾來進行保護，全部其餘IP地址訪問都返回禁止訪問的信息。另外，你須要放一個新的.htaccess文件到wp-admin目錄下，防止根目錄下的.htaccess文件被替換。

9.按期備份網站數據

能夠藉助WordPress備份插件進行自動備份或手動備份：

WordPress數據庫定時備份插件：WordPress Database Backup
使用WordPress自帶導出導入功能備份和恢復網站
WordPress克隆/備份/搬家插件：WP Clone
WordPress超強備份插件：BackWPup（支持FTP/Email/本地/網盤）

10.安裝安全插件

---

WordPress Firewall 2

該插件能夠幫助你識別/阻止一些有效的***，例如 目錄掃描、SQL注入、WP文件掃描、PHP EXE掃描 等，並可將其定向到404或者首頁。若是有問題還能夠經過電子郵件通知你處理，還能夠阻止一些IP的訪問。

Better WP Security

因爲大多數的WP網站存在插件漏洞、弱口令、過期的插件/程序，隱藏這些漏洞能夠更好的保護網站，例如保護登陸和管理區(控制面板？儀表盤？)。

Login Lockdown

這個插件能夠記錄失敗的登陸嘗試的IP地址和時間，如果來自某一個IP地址的這種失敗登陸超過必定條件，那麼系統將禁止這一IP地址繼續嘗試登陸。

Limit Login Attempts

Limit Login Attempts 限制登陸嘗試的次數來防止暴力破解，加強 WordPress 的安全係數。

WP Security Scan

該插件會自動按照以上的安全建議對WordPress進行安全掃描，查找存在的問題。

11.修改WordPress後臺登陸地址，提升安全性

---

將下面的代碼添加到當前主題的 functions.php 文件：

//保護後臺登陸add_action('login_enqueue_scripts','login_protection');function login_protection(){  if($_GET['word'] !='press')header('Location: http://www.malayke.org/');}

這樣一來，後臺登陸的惟一地址就是 http://yoursite/wp-login.php?word=press，若是不是這個地址，就會自動跳轉到 http://www.malayke.org/ ，不信你試試！

你能夠修改第 4 行的 Word、press 和 http://www.malayke.org/ 這三個參數。

12.避免WordPress泄露你的用戶名

---

你有沒有想過，若是你的網站的登錄名被別人知道了，恰恰他是一個比較精通 WordPress 的人，並且會寫腳本暴力破解，那麼後果就不堪設想。

實際上，Wordpress 這麼一個漏洞，至今依然存在，而且經常會被***利用
想要知道 WordPress 的管理員用戶名？很簡單，只要在網站的域名後面加 /?author=1 就好了。
若是 /?author=1 顯示404界面，那極可能是之前有過 admin 用戶，後來站長髮現用默認賬戶 admin 太不安全了，就新建了一個管理員賬戶，並刪除了 admin 賬戶。這種狀況下，用 /?author=2 就能顯示出用戶名了。

若是使用 admin 賬戶，確實不安全，可是若是你的博客使用一個複雜的用戶名，卻經不起這麼簡單的一個 URL 的考驗，這和使用 admin 賬戶沒有根本上的區別。

既然存在漏洞，那麼就要去填補它。要填補這個漏洞，倒還真的不是什麼難事。

個人思路就是，只要訪問主頁url後頭有author參數就讓他跳到主頁
將下面的代碼添加到當前主題的 functions.php 文件：

add_filter('author_link','my_author_link' );function my_author_link() {return home_url('/' );}

呵呵，你們有沒有發現這個思路上面修改WordPress後臺登陸地址是同樣的原理
至此，有了以上的防禦工做，你辛辛苦苦搭建的wp博客就不會沒那麼容易的被黑闊光顧

轉載自：FreeBuf