Apa yang anda perlu tahu tentang pengukuhan keselamatan WordPress!

WordPress kini merupakan salah satu platform pembinaan laman web yang paling popular di dunia dan digunakan secara meluas dalam pelbagai jenis laman web seperti blog peribadi, laman web korporat dan platform e-dagang. Walau bagaimanapun, disebabkan aplikasinya yang luas dan sifat sumber terbuka, laman web WordPress juga menjadi sasaran penggodam. Oleh itu, untuk memastikan keselamatan laman web, WordPress mesti dikeraskan. Artikel ini akan memperkenalkan beberapa kaedah pengerasan keselamatan WordPress yang mesti diketahui dan memberikan contoh kod khusus.

1. Kemas kini WordPress

Pertama, pastikan pemasangan WordPress anda adalah versi terkini. Pasukan WordPress kerap mengeluarkan patch keselamatan dan versi yang dikemas kini untuk membetulkan kelemahan yang diketahui dan meningkatkan keselamatan sistem. Anda boleh menyemak sama ada terdapat sebarang gesaan kemas kini dalam bahagian belakang WordPress dan mengemas kininya tepat pada masanya untuk memastikan keselamatan tapak web.

2. Kuatkan kata laluan log masuk

Kata laluan yang kukuh adalah asas untuk melindungi laman web WordPress. Adalah disyorkan bahawa kata laluan mengandungi sekurang-kurangnya 8 aksara dan termasuk huruf besar dan kecil, nombor dan simbol khas. Elakkan juga menggunakan kata laluan yang mudah diteka, seperti "123456", "kata laluan", dsb. Kerumitan kata laluan boleh dikuatkuasakan melalui contoh kod berikut:

function custom_password_check( $errors ) {
    if ( empty( $_POST[ 'pass1' ] ) ) {
        return $errors;
    }
    
    $uppercase = preg_match('@[A-Z]@', $_POST[ 'pass1' ]);
    $lowercase = preg_match('@[a-z]@', $_POST[ 'pass1' ]);
    $number    = preg_match('@[0-9]@', $_POST[ 'pass1' ]);

    if ( !$uppercase || !$lowercase || !$number ) {
        $errors->add( 'password_too_weak', 'Password must contain uppercase, lowercase letters and numbers.' );
    }

    return $errors;
}

add_filter( 'registration_errors', 'custom_password_check' );

3. Hadkan bilangan percubaan log masuk

Untuk mengelakkan peretasan kata laluan brute force, anda boleh mengehadkan bilangan percubaan log masuk. Selepas berbilang percubaan log masuk yang gagal, alamat IP dilarang untuk sementara waktu daripada mengakses halaman log masuk. Berikut ialah contoh kod mudah:

function limit_login_attempts() {
    $ip = $_SERVER['REMOTE_ADDR'];

    $login_attempts = get_transient( 'login_attempts_' . $ip );

    if ( false === $login_attempts ) {
        $login_attempts = 0;
    }

    $login_attempts++;

    set_transient( 'login_attempts_' . $ip, $login_attempts, MINUTE_IN_SECONDS );

    if ( $login_attempts > 3 ) {
        header( 'HTTP/1.1 403 Forbidden' );
        exit;
    }
}

add_action( 'wp_login_failed', 'limit_login_attempts' );

4. Lumpuhkan penyemakan imbas direktori

Secara lalai, WordPress menyenaraikan fail dalam direktori, yang memberi peluang kepada penggodam untuk mengumpul maklumat. Gunakan contoh kod berikut untuk melumpuhkan fungsi penyemakan imbas direktori:

Options -Indexes

Tambahkan kod di atas pada fail .htaccess untuk melumpuhkan fungsi penyemakan imbas direktori.

5. Lumpuhkan fungsi penyuntingan fail

WordPress menyediakan fungsi editor yang membolehkan fail tema dan pemalam diedit terus di latar belakang. Ini memberikan penggodam cara yang sangat mudah untuk menyerang. Adalah disyorkan untuk melumpuhkan fungsi penyuntingan fail untuk mengelakkan potensi risiko keselamatan. Berikut ialah contoh kod:

define( 'DISALLOW_FILE_EDIT', true );

Tambahkan kod di atas pada fail wp-config.php untuk melumpuhkan penyuntingan fail.

Ringkasan

Melalui kaedah pengerasan keselamatan WordPress dan contoh kod di atas, anda boleh meningkatkan keselamatan tapak web WordPress anda dengan berkesan dan menghalang pelbagai kemungkinan serangan rangkaian. Kaedah ini hanyalah sebahagian daripada langkah keselamatan Keselamatan tapak web adalah proses yang berterusan, dan disyorkan untuk menjalankan semakan keselamatan komprehensif dan pengerasan WordPress secara berkala. Saya harap artikel ini akan membantu anda mengukuhkan keselamatan laman web WordPress anda.

Atas ialah kandungan terperinci Apa yang anda perlu tahu tentang pengukuhan keselamatan WordPress!. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!