WordPress 보안 강화, 1부

정말 끔찍한 악몽입니다. ​​어느 날 웹사이트를 열고 해킹당했다는 사실을 알게 됩니다. 단순한 개인 블로그를 운영하고 있다면 이는 그저 짜증나는 일이 될 수도 있습니다. 고객의 웹사이트를 호스팅하면 하루가 힘들고 스트레스를 받을 수 있습니다. 대용량 전자상거래 사이트를 운영하고 있다면 당황스러울 수 있습니다. 상황에 관계없이 행복한 이모티콘을 사용하여 뉴스를 공유하지 않습니다. 따라서 공격이 발생하지 않도록 방지하는 전략이 필요합니다.

잘 찾아오셨습니다. 두 부분으로 구성된 이 미니 시리즈에서는 WordPress 프로젝트를 최대한 안전하게 만드는 방법을 보여 드리겠습니다.

워드프레스 보안 소개

워드프레스는 안전하다고 생각하시나요? 그렇지 않더라도 괜찮습니다. 많은 사람들이 WordPress가 안전하지 않은 콘텐츠 관리 시스템이라고 생각하기 때문입니다. 그러나 적어도 오늘날에는 진실과 더 이상 다를 수 없습니다.

Microsoft Windows, Android, Google Chrome, WordPress의 공통점은 무엇인가요? 둘 다 매우 인기 있는 소프트웨어이며 사람들은 항상 보안 허점을 발견합니다. 버그와 보안 결함에 대해 정기적으로 패치가 적용되지만 보안 허점이 있으면 안전하지 않습니까?

다르게 생각하셨다면 죄송하지만, 그렇지 않습니다. 패치가 자주 발생한다고 해서 소프트웨어 일부가 보안 위협에 대해 제대로 코딩되지 않았다는 의미는 아닙니다. 개발자와 해커 사이의 고양이와 쥐 게임은 항상 계속될 것이며 해커는 항상 소프트웨어를 해독할 방법을 찾을 것입니다. 워드프레스처럼 소프트웨어 확장성이 있으면 해킹 가능성도 높아진다.

여기서 중요한 것은 대응성과 선제성인데, 워드프레스가 뛰어난 점은 바로 이것입니다. 구글 크롬이 보안 허점을 메우려면 며칠을 기다려야 하고, 마이크로소프트가 보안 수정 사항을 발표하는 데도 몇 주를 기다려야 하지만 대규모 워드프레스 개발자 커뮤니티는 끝나기 전에 제로데이 보안 허점을 패치할 수 있을 것이다. 2019년. 1일차. 게다가 WordPress 코어 보호를 전담하는 팀 전체가 있어 이에 대한 처리도 꽤 잘 하고 있습니다. 테마와 플러그인의 경우 버그와 결함을 찾는 것이 조금 더 쉬울 수 있고 이를 수정하는 데 시간이 더 걸릴 수 있지만 커뮤니티에서는 개발자의 지원을 받습니다.

그러나 100%안전한 것은 없습니다. 우리는 과학자들이 우리 두뇌의 암호를 해독하기 직전인 시대에 살고 있습니다! 우리 두뇌를 포함하여 이해할 수 없는 것은 없으며 WordPress도 예외는 아닙니다. 하지만 100% 보안이 불가능하다고 해서 99.999% 보안을 위해 노력해서는 안 된다는 의미는 아닙니다.

WordPress 보안 향상

개인적인 경험과 추가 연구를 바탕으로 아직 취하지 않은 경우 취해야 할 몇 가지 안전 조치를 정리했습니다. 더 이상 고민하지 말고 지금 바로 알아봅시다!

파일 .htaccess 보호

간단하게 시작해 보세요.

귀하의 WordPress 웹사이트가 Apache 기반 웹 서버에서 호스팅되고 설정에서 "Pretty Permalinks"를 활성화한 경우 WordPress에서는 기본 정보를 저장하기 위해 .htaccess 的文件来存储基本信息WordPress 永久链接说明。如果您不启用漂亮的永久链接，核心将不会生成 .htaccess라는 파일을 생성합니다. WordPress 영구 링크 설명 . 예쁜 고유 링크를 활성화하지 않으면 코어는

파일을 생성하지 않지만 제가 보여드릴 팁은 여전히 ​​적용됩니다. 파일을 직접 생성하기만 하면 됩니다.

.htaccess 文件，但很难创建一个没有任何名称但带有 .htaccess 扩展名的文件，只需上传一个空文件即可使用任何名称（例如 Untitled.txt나노 팁:

파일을 직접 만들고 싶지만 이름 없이

확장자를 사용하여 파일을 만드는 데 문제가 있는 경우 임의의 이름(예: Untitled.txt)으로 빈 파일을 업로드하고 FTP 클라이언트에서 이름과 확장자를 변경합니다. <code>htaccess

가장 먼저 생각한 것은

파일을 보호하는 것입니다. 이것은 제가 보여드릴 팁과 요령 중에서 가장 쉬운 방법입니다. 여러분이 해야 할 일은 파일에 다음 줄을 추가하는 것뿐입니다: htaccess 으아아아 이것은 파일에 액세스하려는 모든 사람(또는 누구나

)으로부터

파일을 보호하는 무해한 방법입니다.

다음으로 폴더 내용 표시를 비활성화하겠습니다. myblog.com/wp-content/uploads/。通常，他们能够查看上传的文件或浏览 /uploads/ 目录中的子文件夹，但通过这个小技巧，他们将看到来自服务器的 403 Forbidden 으아아아

이렇게 하면 낯선 사람이 폴더에 액세스하려는 경우(예:

응답) 폴더의 내용을 볼 수 없습니다.

마지막으로 Perishable Press에서 제공하는 훌륭한 "블랙리스트"인 The 5G Blacklist를 언급하고 싶습니다. 이 블랙리스트는 유해한 쿼리 문자열부터 잘못된 사용자 에이전트에 이르기까지 광범위한 악의적 활동으로부터 사이트를 보호합니다.

htaccess 技巧。现在，让我们继续学习 wp-config.php

이것이 🎜비법입니다. 이제 wp-config.php 트릭으로 넘어가겠습니다. 🎜

wp-config.php 文件及其内容的安全技巧

就安全性而言，wp-config.php 文件可能是整个 WordPress 安装中最重要的文件。您可以用它做很多事情来强化您的网站。

让我们从一个有趣的技巧开始：您是否知道可以将 wp-config.php 文件放在 WordPress 根目录中的上一级？如果它不会让您感到困惑，请立即执行。大多数时候，我将 WordPress 安装在 public_html 目录中，并且喜欢将 wp-config.php 文件放在用户根目录中。不确定这是否是万金油配方，但至少它感觉更安全。 Stack Exchange 的一些人就这个话题进行了很好的辩论。

顺便说一下，让我们回到根 .htacccess 文件并添加以下行以拒绝访问 wp-config.php 文件：

# protect wpconfig.php
<files wp-config.php>
    order allow,deny
    deny from all
</files>

这是一个有趣的想法：删除编辑主题和插件文件的权限怎么样？所需要做的就是将以下行添加到 wp-config.php 文件中：

define( 'DISALLOW_FILE_EDIT', true );

感觉更加偏执？将以下行粘贴到上面一行下方以完全禁用主题和插件安装和删除：

define( 'DISALLOW_FILE_MODS', true );

关于强化 WordPress 的另外两个技巧：更改数据库前缀，并在 wp-config.php 文件中添加安全密钥（或 salt 密钥）。

第一个很简单：通过查找以下行来检查是否将数据库前缀设置为默认值：

$table_prefix  = 'wp_';

如果它设置为 wp_，您应该将其更改为除此默认值之外的其他值。您无需记住它，因此可以输入任何内容。我喜欢使用 wp_fd884vg_ 这样的组合来保证它的安全性和可读性。

更改安全密钥也非常容易。通过找到以下行来查看键是否为空：

/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

如果他们都说'把你独特的短语放在这里'，这意味着他们还没有设置。在这种情况下，只需转到此 URL（也在代码注释中引用）并使用上面的行更改该页面中生成的行。

Nano-tip：如果您想知道这些“盐密钥”是什么，WPBeginner 有一篇很棒的文章介绍了这种安全措施的好处。

wp-config.php 技巧就到此为止！今天就到此为止吧。

今天总结

我希望您今天喜欢这些 .htaccess 和 wp-config.php 技巧。在这个迷你系列的下一部分中，我们将介绍一些安全插件和其他有关强化 WordPress 的重要技巧。如果您有任何问题或意见，请随时在下面的评论部分中提出。

下一部分见！

위 내용은 WordPress 보안 강화, 1부의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!