#這是一場可怕的惡夢:有一天,您打開網站,發現自己已被駭客攻擊。如果您正在運行一個簡單的個人博客,這可能只是一個煩人的事件。如果您託管客戶的網站,您的一天可能會變得艱難且充滿壓力。如果您正在經營一個高銷售量的電子商務網站,它可能會引發恐慌。無論情況如何,您都不會使用快樂的表情符號來分享新聞。因此,您需要一個策略來防止攻擊發生。
您來對地方了。在這個由兩部分組成的迷你係列中,我將向您展示如何讓您的 WordPress 專案盡可能安全。
您認為 WordPress 安全嗎?如果您不這樣做也沒關係,因為很多人認為 WordPress 是一個不安全的內容管理系統,但事實與事實相去甚遠……至少在今天是這樣。
Microsoft Windows、Android、Google Chrome 和 WordPress 有什麼共通點?它們都是非常受歡迎的軟體,人們總是會發現其中的安全漏洞。儘管它們都定期修補錯誤和安全缺陷,但存在安全漏洞是否會使它們不安全?
如果您有不同的想法,我很抱歉,但事實並非如此。頻繁的修補程式並不一定意味著某個軟體針對安全威脅的編碼很差。開發者和駭客之間的貓捉老鼠的遊戲永遠會繼續下去,駭客永遠會找到破解軟體的方法。如果軟體像 WordPress 一樣是可擴展的,那麼駭客入侵的機會也會增加。
這裡重要的是回應能力和先發制人,而這正是 WordPress 所擅長的。你必須等待幾天才能讓 Google Chrome 堵塞安全漏洞,甚至需要等待幾週微軟才能發布安全修復程序,但龐大的 WordPress 開發者社群將能夠在 2019 年底之前修復零日安全漏洞。 第一天。另外,有一整個團隊致力於保護 WordPress 核心,所以我們在這方面也有很好的掌握。就主題和外掛而言,發現錯誤和缺陷可能會更容易一些,並且可能需要更多時間來修復它們,但社群得到了開發人員的支持。
然而,沒有什麼是百分百安全的。我們生活在科學家即將破解我們大腦密碼的時代!沒有什麼是難以理解的,顯然包括我們的大腦,WordPress 也不例外。但 100% 的安全性是不可能的,並不代表我們不應該追求 99.999% 的安全性。
根據個人經驗和進一步的研究,我整理了一些您應該採取的安全措施(如果您還沒有採取的話)。話不多說,讓我們現在就來了解他們吧!
.htaccess
檔案讓我們從簡單的開始。
如果您的WordPress 網站託管在由Apache 提供支援的網站伺服器中,並且您在設定中啟用了“漂亮的永久連結”,WordPress 將產生一個名為.htaccess
的檔案來儲存基本資訊WordPress 永久連結說明。如果您不啟用漂亮的永久鏈接,核心將不會生成 .htaccess
文件,但我將要展示的提示仍然適用 - 您只需要自己創建該文件。
Nano-tip:如果您要自己創建.htaccess
文件,但很難創建一個沒有任何名稱但帶有.htaccess
擴展名的文件,只需上傳一個空檔案即可使用任何名稱(例如Untitled.txt
)並在FTP 用戶端中變更名稱和副檔名。
我首先想到的是保護 htaccess
檔案。這是我將向您展示的提示和技巧中最容易做的事情。您所要做的就是將以下行新增至文件:
# protect .htaccess <Files .htaccess> order allow,deny deny from all </Files>
這是一個無害的技巧,可以保護 htaccess
檔案免受任何想要存取它的人(或任何)的存取。
接下來,讓我們停用顯示資料夾的內容:
# disable directory browsing Options All -Indexes
這將防止陌生人在想要訪問時看到您資料夾的內容,例如,myblog.com/wp-content/uploads/
。通常,他們能夠查看上傳的檔案或瀏覽 /uploads/
目錄中的子資料夾,但透過這個小技巧,他們將看到來自伺服器的 403 Forbidden
回應。
最後,我想參考 Perishable Press 提供的一份很棒的「黑名單」:5G 黑名單。此黑名單可以保護您的網站免受多種惡意活動的侵害,從有害的查詢字串到不良的用戶代理。
#這就是 htaccess
技巧。現在,讓我們繼續學習 wp-config.php
技巧。
wp-config.php
文件及其内容的安全技巧就安全性而言,wp-config.php
文件可能是整个 WordPress 安装中最重要的文件。您可以用它做很多事情来强化您的网站。
让我们从一个有趣的技巧开始:您是否知道可以将 wp-config.php
文件放在 WordPress 根目录中的上一级?如果它不会让您感到困惑,请立即执行。大多数时候,我将 WordPress 安装在 public_html
目录中,并且喜欢将 wp-config.php
文件放在用户根目录中。不确定这是否是万金油配方,但至少它感觉更安全。 Stack Exchange 的一些人就这个话题进行了很好的辩论。
顺便说一下,让我们回到根 .htacccess
文件并添加以下行以拒绝访问 wp-config.php
文件:
# protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>
这是一个有趣的想法:删除编辑主题和插件文件的权限怎么样?所需要做的就是将以下行添加到 wp-config.php
文件中:
define( 'DISALLOW_FILE_EDIT', true );
感觉更加偏执?将以下行粘贴到上面一行下方以完全禁用主题和插件安装和删除:
define( 'DISALLOW_FILE_MODS', true );
关于强化 WordPress 的另外两个技巧:更改数据库前缀,并在 wp-config.php
文件中添加安全密钥(或 salt 密钥)。
第一个很简单:通过查找以下行来检查是否将数据库前缀设置为默认值:
$table_prefix = 'wp_';
如果它设置为 wp_
,您应该将其更改为除此默认值之外的其他值。您无需记住它,因此可以输入任何内容。我喜欢使用 wp_fd884vg_
这样的组合来保证它的安全性和可读性。
更改安全密钥也非常容易。通过找到以下行来查看键是否为空:
/**#@+ * Authentication Unique Keys and Salts. * * Change these to different unique phrases! * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service} * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again. * * @since 2.6.0 */ define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here'); define('AUTH_SALT', 'put your unique phrase here'); define('SECURE_AUTH_SALT', 'put your unique phrase here'); define('LOGGED_IN_SALT', 'put your unique phrase here'); define('NONCE_SALT', 'put your unique phrase here');
如果他们都说'把你独特的短语放在这里'
,这意味着他们还没有设置。在这种情况下,只需转到此 URL(也在代码注释中引用)并使用上面的行更改该页面中生成的行。
Nano-tip:如果您想知道这些“盐密钥”是什么,WPBeginner 有一篇很棒的文章介绍了这种安全措施的好处。
wp-config.php
技巧就到此为止!今天就到此为止吧。
我希望您今天喜欢这些 .htaccess
和 wp-config.php
技巧。在这个迷你系列的下一部分中,我们将介绍一些安全插件和其他有关强化 WordPress 的重要技巧。如果您有任何问题或意见,请随时在下面的评论部分中提出。
下一部分见!
以上是加強 WordPress 安全性,第 1 部分的詳細內容。更多資訊請關注PHP中文網其他相關文章!