如何提升wordpress的安全性-＆＃＆按-PHP中文網

首頁

CMS教程

＆＃＆按

如何提升wordpress的安全性

尚

Jul 13, 2019 pm 04:00 PM

如何提升wordpress的安全性

無論你的網站規模是大或小，丟失站點數據，或是無法管理你自己的站點，都會讓你神經緊繃。 WordPress驅動全世界25%的Web，對駭客來說，WordPress網站是他們最重要的目標之一。

在這篇文章中，我們將會討論一些加強WordPress安全性的小tip。

1. Bcrypt密碼雜湊

WordPress成立於2003年，那時PHP和Web還剛起步。那時Facebook還沒出現，PHP還沒有OOP架構；因此，今天WordPress的安全性已經稍微顯過時，例如其密碼加密的方式。

如今WordPress還在使用MD5雜湊。基本上說，它只是把123456變成這樣：e10adc3949ba59abbe56e057f20f883e。

然而，如今的電腦比10年前要複雜精密的多，因此這樣的密碼可以輕易攻破。

自從5.5版本之後，PHP有了本地的加密方式，如果你的WordPress網站，所使用的PHP版本高於5.5，你可以使用這個功能。

你可以安裝Composer或是MU-Plugins插件，重新儲存你的密碼。

2. 啟用WordPress.com防護

#Brute-force是駭客最常用的密碼破解方式。因此，你需要設定一些非常難猜的密碼。

WordPress.com的母公司Automattic收購了一個非常受歡迎的防brute-force外掛。這個插件的名字叫BruteProtect，它如今已經被整合到Jetpeck裡面了。

事實證明，這個外掛的防護效率非常好。

首先，你需要安裝最新版本的Jetpack，然後將你的網站連接至WordPress.com。之後打開防護模組，將你自己的IP加入白名單。

如何提升wordpress的安全性

之後，你的網站就更安全了。

3. 隱藏登入URL

誰都知道，要想登入WordPress後台，你只需要在網域後面加上wp-login.php，不只你知道，駭客也知道。因此，你需要隱藏你的登入URL，讓這個URL只對你開放。

幸運的是，你可以透過一些簡單的外掛程式來實現這個目的：

1) iThemes Security

2) WPS Hide Login

如何提升wordpress的安全性

4. 關閉「忘記密碼」

「忘記密碼」功能能讓你透過其他方式找回你的密碼，但是駭客也可以透過這個方式來取得你的密碼。因此，你最好關閉這個功能。

我們需要建立一個新的檔案並且上傳，將其命名為forget-password.php。

首先，我們要更改遺失密碼的URL：

function lostpassword_url() {
return site_url( &#39;wp-login.php&#39; );
}
add_filter( &#39;lostpassword_url&#39;,&#39;lostpassword_url&#39; );

移除連結。但是，WordPress本身並不支援這個操作，因此我們需要使用JavaScript。

function lostpassword_elem( $page ) { ?>
<script type="text/javascript">
(function(){
var links = document.querySelectorAll( &#39;a&#39; );
for (var i = links.length - 1; i >= 0; i--) {
if ( links[i].innerText === "Lost your password?" ) {
links[i].parentNode.removeChild( links[i] );
}
};
}());
</script>
<?php }
add_action( &#39;login_footer&#39;, &#39;lostpassword_elem&#39; );

最後，將「遺失密碼」的URL重定向到登入頁。

function lostpassword_redirect() {
if ( isset( $_GET[ &#39;action&#39; ] ) ){
if ( in_array( $_GET[ &#39;action&#39; ], array( &#39;lostpassword&#39;, &#39;retrievepassword&#39; ) ) ) {
wp_redirect( &#39;/wp-login.php&#39;, 301 );
exit;
}
}
}
add_action( &#39;init&#39;,&#39;lostpassword_redirect&#39; );

5. 啟用HTTPS

HTTPS為你的網站提供了多一層的防護，而且還能提升你在搜尋引擎中的排名。現在你可以透過 Let’s Encrypt這個專案免費獲得HTTPS證書。

對於WordPress網站來說，你可以使用WP Encrypt輕鬆使用這個憑證。我建議你現在就去用HTTPS。

更多wordpress相關技術文章，請造訪wordpress教學欄位進行學習！

以上是如何提升wordpress的安全性的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

我可以在3天內學習WordPress嗎？Apr 09, 2025 am 12:16 AM

能在三天內學會WordPress。 1.掌握基礎知識，如主題、插件等。 2.理解核心功能，包括安裝和工作原理。 3.通過示例學習基本和高級用法。 4.了解調試技巧和性能優化建議。

WordPress是CMS嗎？Apr 08, 2025 am 12:02 AM

WordPress是內容管理系統（CMS）。它提供內容管理、用戶管理、主題和插件功能，支持創建和管理網站內容。其工作原理包括數據庫管理、模板系統和插件架構，適用於從博客到企業網站的各種需求。

WordPress有什麼用？Apr 07, 2025 am 12:06 AM

wordpressgood forvortalyanewebprojectDuetoItsAsatilityAsacms.itexcelsin：1）用戶友好性，允許Aeserywebsitesetup; 2）sexibility andcustomized andcustomization and numerthemesandplugins; 3）seoop timigimization; and4）and4）

我應該使用Wix或WordPress嗎？Apr 06, 2025 am 12:11 AM

Wix適合沒有編程經驗的用戶，WordPress適合希望有更多控制和擴展能力的用戶。 1)Wix提供拖放式編輯器和豐富模板，易於快速搭建網站。 2)WordPress作為開源CMS，擁有龐大社區和插件生態，支持深度自定義和擴展。

WordPress的成本是多少？Apr 05, 2025 am 12:13 AM

WordPress本身免費，但使用需額外費用：1.WordPress.com提供從免費到付費的套餐，價格從每月幾美元到幾十美元不等；2.WordPress.org需購買域名（每年10-20美元）和託管服務（每月5-50美元）；3.插件和主題多數免費，付費的價格在幾十到幾百美元之間；通過選擇合適的託管服務、合理使用插件和主題、定期維護和優化，可以有效控制和優化WordPress的成本。