WordPress安全加固必知！

WordPress是目前世界上最受歡迎的網站建立平台之一，被廣泛應用於個人部落格、企業網站、電子商務平台等各種網站類型。然而，由於其廣泛的應用和開源的特性，WordPress網站也成為了駭客攻擊的目標。因此，為了保障網站的安全，必須加固WordPress。本文將介紹一些WordPress安全加固的必知方法，並提供具體的程式碼範例。

一、更新WordPress

首先，確保您的WordPress安裝是最新版本。 WordPress團隊會定期發布安全性修補程式和更新版本，以修復已知漏洞和提高系統安全性。在WordPress後台可查看是否有更新的提示，及時更新以確保網站的安全。

二、加強登入密碼

強密碼是保護WordPress網站的基礎。建議密碼至少包含8個字符，且包含大小寫字母、數字和特殊符號。同時避免使用容易被猜到的密碼，如「123456」、「password」等。可以透過以下程式碼範例強制密碼複雜度：

function custom_password_check( $errors ) {
    if ( empty( $_POST[ 'pass1' ] ) ) {
        return $errors;
    }
    
    $uppercase = preg_match('@[A-Z]@', $_POST[ 'pass1' ]);
    $lowercase = preg_match('@[a-z]@', $_POST[ 'pass1' ]);
    $number    = preg_match('@[0-9]@', $_POST[ 'pass1' ]);

    if ( !$uppercase || !$lowercase || !$number ) {
        $errors->add( 'password_too_weak', 'Password must contain uppercase, lowercase letters and numbers.' );
    }

    return $errors;
}

add_filter( 'registration_errors', 'custom_password_check' );

三、限制登入嘗試次數

#為防止暴力破解密碼，可以限制登入嘗試次數。當嘗試登入失敗多次後，暫時禁止IP位址存取登入頁面。以下是一個簡單的程式碼範例：

function limit_login_attempts() {
    $ip = $_SERVER['REMOTE_ADDR'];

    $login_attempts = get_transient( 'login_attempts_' . $ip );

    if ( false === $login_attempts ) {
        $login_attempts = 0;
    }

    $login_attempts++;

    set_transient( 'login_attempts_' . $ip, $login_attempts, MINUTE_IN_SECONDS );

    if ( $login_attempts > 3 ) {
        header( 'HTTP/1.1 403 Forbidden' );
        exit;
    }
}

add_action( 'wp_login_failed', 'limit_login_attempts' );

四、禁止目錄瀏覽

預設情況下，WordPress會列出目錄中的文件，這為駭客提供了資訊收集的機會。透過以下程式碼範例，禁止目錄瀏覽功能：

Options -Indexes

將以上程式碼加入.htaccess檔案中，即可禁止目錄瀏覽功能。

五、停用檔案編輯功能

WordPress提供了一個編輯器功能，允許在後台直接編輯主題和外掛檔案。這給了駭客一個非常方便的入侵途徑。建議停用文件編輯功能，避免潛在的安全風險。以下是程式碼範例：

define( 'DISALLOW_FILE_EDIT', true );

將以上程式碼加入wp-config.php檔案中即可停用檔案編輯功能。

總結

透過以上的WordPress安全加固方法和程式碼範例，可以有效提升WordPress網站的安全性，防範各種潛在的網路攻擊。這些方法只是一部分安全措施，網站安全是一個持續的過程，建議定期對WordPress進行全面的安全審查和加固。希望本文對您加固WordPress網站安全有幫助。

以上是WordPress安全加固必知！的詳細內容。更多資訊請關注PHP中文網其他相關文章！