WordPress安全設置方案

Author：作一個好人
WordPress做爲享譽全球的博客程序，已然被衆多愛好者使用在本身的博客程序中，但盛名必然引來注意，更少不了不懷好意的駭客們的虎視眈眈。所以，加固WP成爲我的博客或企業博客安全防護的工做之一。
        IDF根據對本站的滲透測試結果以及對系統加固的經驗，結合網絡上衆多加固手段，總結出如下WP安全配置方法：
1、升級WordPress到最新版本
        通常來講，新版本的WordPress安全性都會比老版本要好一些，而且解決了已知的各類安全性問題，特別當遇到重大的版本升級時，新版本可能會解決更多的關鍵性問題。
2、隱藏WordPress版本
        編輯你的header.php模板，將裏面關於WordPress的版本信息都刪除，這樣黑客就沒法經過查看源代碼的防治得知你的WordPress有沒有升級到最新版本。值得注意的是，跟目錄下默認生成的readme.html亦可泄露版本信息，記得刪除它。
3、更改WordPress用戶名
        每一個黑客都知道WordPress的管理員用戶是admin，具備管理員權限，會攻擊這個用戶，那麼你須要建立一個新用戶，將其設置爲管理員權限，而後刪除老的admin賬號，這就能避免黑客猜想管理員的用戶名。
4、更改WordPress用戶密碼
        安裝好WordPress後，系統會發送一個隨機密碼到你的信箱，修改這個密碼，由於這個密碼的長度只有6個字符，你要將密碼修改成10個字符以上的複雜密碼，並儘可能使用字母、數字、符號相混合的密碼。
5、防止WordPress目錄顯示
        WordPress會默認安裝插件到/wp-content/plugins/目錄下，一般狀況下直接瀏覽這個目錄會列出全部安裝的插件名，這很糟糕，由於黑客能夠利用已知插件的漏洞進行攻擊，所以能夠建立一個空的index.html文件放到這個目錄下，固然，修改Apache的.htaccess文件也能夠起到相同的做用。
6、保護wp-admin文件夾
        你能夠經過限定IP地址訪問WordPress管理員文件夾來進行保護，全部其餘IP地址訪問都返回禁止訪問的信息，不過你也只能從一兩個地方進行博客管理。另外，你須要放一個新的.htaccess文件到wp-admin目錄下，防止根目錄下的.htaccess文件被替換。
7、針對搜索引擎的保護
        不少WordPress系統文件不須要被搜索引擎索引，所以，修改你的robots.txt文件，增長一行Disallow: /wp-*
8、安裝Login Lockdown插件
        這個插件能夠記錄失敗的登陸嘗試的IP地址和時間，若是來自某一個IP地址的這種失敗登陸超過必定條件，那麼系統將禁止這一IP地址繼續嘗試登陸。
9、文件權限設置
        wordpress文件權限設置涉及到幾個目錄：
        根目錄 /，/wp-admin/，/wp-includes/ ：
        全部的文件應該設置爲只有本身的用戶賬號有寫入權限，其它的只設置有讀權限。
        /wp-content/：
        用戶目錄，能夠設置爲全部用戶可寫。
        /wp-content/themes/：
        主題目錄，若是你須要在後臺使用主題編輯器，須要設置爲可寫。
        /wp-content/plugins/ ：
        插件目錄，設置只有你的用戶賬號可寫。
        提示：wordpress全站目錄不須要可寫均可以正常運行，因此建議設置爲全站不可寫，當須要自動升級，安裝主題或插件時，能夠臨時設置爲可寫，以後再關閉寫入權限便可，這是最安全的設置。
10、數據庫安全
        若是服務器運行有多個網站，而且用到mysql數據庫，建議爲各個數據庫指定一個低權限的用戶。數據庫用戶須要的權限有:
        Alter,Delete,Create,Drop,Execute,Select,Update。
        具體添加mysql數據庫的命令爲：
        如不須要遠程鏈接：
        grant Alter,Delete,Create,Drop,Execute,Select,Update on dbname . * to ‘username′@’localhost’ identified by ‘password’;
        如須要遠程鏈接:
        grant Alter,Delete,Create,Drop,Execute,Select,Update on dbname . * to ‘username′@’client-ip’ identified by ‘password’;
11、隱藏式安全
        一、隱藏wordpress版本
        隱藏wordpress版本號，能夠防止他人針對特定版本號尋找相應的漏洞，從而進行入侵。隱藏版本號的方法是，在當前主題目錄下的 function.php文件中加入：
        function wpt_remove_version()
        {
                return 」;
        }
        add_filter(‘the_generator’, ‘wpt_remove_version’);
        二、重命名管理者帳號
        爲了防止黑客暴力破解後臺密碼，最好仍是不要使用默認的admin賬號。修改默認賬號的方法能夠經過mysql命令行執行命令:
        mysql> UPDATE wp_users SET user_login = ‘newuser’ WHERE user_login = ‘admin’;
        或者直接使用phpmyadmin可視化操做。
        三、更改 table_prefix（表名前綴）
        更改默認的表名前綴wp_能夠防止sql注入攻擊。
12、數據備份
        不要期望把上面的設置完成就能夠高枕無憂了，咱們仍是必須保持對數據的備份，以便數據丟失或黑客掛馬時能迅速地恢復。
        安全無絕對，加固亦無萬全，以上手段可平衡使用及安全，但絕非萬無一失的配置方案。在攻擊與防護之間尋求平衡，方是黑客之道！

本內容來源網絡,www.jsjby.com