加強 WordPress 安全性，第 1 部分

#這是一場可怕的惡夢：有一天，您打開網站，發現自己已被駭客攻擊。如果您正在運行一個簡單的個人博客，這可能只是一個煩人的事件。如果您託管客戶的網站，您的一天可能會變得艱難且充滿壓力。如果您正在經營一個高銷售量的電子商務網站，它可能會引發恐慌。無論情況如何，您都不會使用快樂的表情符號來分享新聞。因此，您需要一個策略來防止攻擊發生。

您來對地方了。在這個由兩部分組成的迷你係列中，我將向您展示如何讓您的 WordPress 專案盡可能安全。

WordPress 安全性簡介

您認為 WordPress 安全嗎？如果您不這樣做也沒關係，因為很多人認為 WordPress 是一個不安全的內容管理系統，但事實與事實相去甚遠……至少在今天是這樣。

Microsoft Windows、Android、Google Chrome 和 WordPress 有什麼共通點？它們都是非常受歡迎的軟體，人們總是會發現其中的安全漏洞。儘管它們都定期修補錯誤和安全缺陷，但存在安全漏洞是否會使它們不安全？

如果您有不同的想法，我很抱歉，但事實並非如此。頻繁的修補程式並不一定意味著某個軟體針對安全威脅的編碼很差。開發者和駭客之間的貓捉老鼠的遊戲永遠會繼續下去，駭客永遠會找到破解軟體的方法。如果軟體像 WordPress 一樣是可擴展的，那麼駭客入侵的機會也會增加。

這裡重要的是回應能力和先發制人，而這正是 WordPress 所擅長的。你必須等待幾天才能讓 Google Chrome 堵塞安全漏洞，甚至需要等待幾週微軟才能發布安全修復程序，但龐大的 WordPress 開發者社群將能夠在 2019 年底之前修復零日安全漏洞。 第一天。另外，有一整個團隊致力於保護 WordPress 核心，所以我們在這方面也有很好的掌握。就主題和外掛而言，發現錯誤和缺陷可能會更容易一些，並且可能需要更多時間來修復它們，但社群得到了開發人員的支持。

然而，沒有什麼是百分百安全的。我們生活在科學家即將破解我們大腦密碼的時代！沒有什麼是難以理解的，顯然包括我們的大腦，WordPress 也不例外。但 100% 的安全性是不可能的，並不代表我們不應該追求 99.999% 的安全性。

提高 WordPress 的安全性

根據個人經驗和進一步的研究，我整理了一些您應該採取的安全措施（如果您還沒有採取的話）。話不多說，讓我們現在就來了解他們吧！

保護 .htaccess 檔案

讓我們從簡單的開始。

如果您的WordPress 網站託管在由Apache 提供支援的網站伺服器中，並且您在設定中啟用了“漂亮的永久連結”，WordPress 將產生一個名為.htaccess 的檔案來儲存基本資訊WordPress 永久連結說明。如果您不啟用漂亮的永久鏈接，核心將不會生成 .htaccess 文件，但我將要展示的提示仍然適用 - 您只需要自己創建該文件。

Nano-tip：如果您要自己創建.htaccess 文件，但很難創建一個沒有任何名稱但帶有.htaccess 擴展名的文件，只需上傳一個空檔案即可使用任何名稱（例如Untitled.txt）並在FTP 用戶端中變更名稱和副檔名。

我首先想到的是保護 htaccess 檔案。這是我將向您展示的提示和技巧中最容易做的事情。您所要做的就是將以下行新增至文件：

# protect .htaccess
<Files .htaccess>
   order allow,deny
   deny from all
</Files>

這是一個無害的技巧，可以保護 htaccess 檔案免受任何想要存取它的人（或任何）的存取。

接下來，讓我們停用顯示資料夾的內容：

# disable directory browsing
Options All -Indexes

這將防止陌生人在想要訪問時看到您資料夾的內容，例如，myblog.com/wp-content/uploads/。通常，他們能夠查看上傳的檔案或瀏覽 /uploads/ 目錄中的子資料夾，但透過這個小技巧，他們將看到來自伺服器的 403 Forbidden 回應。

最後，我想參考 Perishable Press 提供的一份很棒的「黑名單」：5G 黑名單。此黑名單可以保護您的網站免受多種惡意活動的侵害，從有害的查詢字串到不良的用戶代理。

#

這就是 htaccess 技巧。現在，讓我們繼續學習 wp-config.php 技巧。

wp-config.php 文件及其内容的安全技巧

就安全性而言，wp-config.php 文件可能是整个 WordPress 安装中最重要的文件。您可以用它做很多事情来强化您的网站。

让我们从一个有趣的技巧开始：您是否知道可以将 wp-config.php 文件放在 WordPress 根目录中的上一级？如果它不会让您感到困惑，请立即执行。大多数时候，我将 WordPress 安装在 public_html 目录中，并且喜欢将 wp-config.php 文件放在用户根目录中。不确定这是否是万金油配方，但至少它感觉更安全。 Stack Exchange 的一些人就这个话题进行了很好的辩论。

顺便说一下，让我们回到根 .htacccess 文件并添加以下行以拒绝访问 wp-config.php 文件：

# protect wpconfig.php
<files wp-config.php>
    order allow,deny
    deny from all
</files>

这是一个有趣的想法：删除编辑主题和插件文件的权限怎么样？所需要做的就是将以下行添加到 wp-config.php 文件中：

define( 'DISALLOW_FILE_EDIT', true );

感觉更加偏执？将以下行粘贴到上面一行下方以完全禁用主题和插件安装和删除：

define( 'DISALLOW_FILE_MODS', true );

关于强化 WordPress 的另外两个技巧：更改数据库前缀，并在 wp-config.php 文件中添加安全密钥（或 salt 密钥）。

第一个很简单：通过查找以下行来检查是否将数据库前缀设置为默认值：

$table_prefix  = 'wp_';

如果它设置为 wp_，您应该将其更改为除此默认值之外的其他值。您无需记住它，因此可以输入任何内容。我喜欢使用 wp_fd884vg_ 这样的组合来保证它的安全性和可读性。

更改安全密钥也非常容易。通过找到以下行来查看键是否为空：

/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

如果他们都说'把你独特的短语放在这里'，这意味着他们还没有设置。在这种情况下，只需转到此 URL（也在代码注释中引用）并使用上面的行更改该页面中生成的行。

Nano-tip：如果您想知道这些“盐密钥”是什么，WPBeginner 有一篇很棒的文章介绍了这种安全措施的好处。

wp-config.php 技巧就到此为止！今天就到此为止吧。

今天总结

我希望您今天喜欢这些 .htaccess 和 wp-config.php 技巧。在这个迷你系列的下一部分中，我们将介绍一些安全插件和其他有关强化 WordPress 的重要技巧。如果您有任何问题或意见，请随时在下面的评论部分中提出。

下一部分见！

以上是加強 WordPress 安全性，第 1 部分的詳細內容。更多資訊請關注PHP中文網其他相關文章！