22个或许您不知道的 wordpress 安全技巧(下)

/

22个或许您不知道的 wordpress 安全技巧(下)

22个或许您不知道的 wordpress 安全技巧(上)列出了11条 wordpress 的安全技巧,接下来是第二部分,另外的11条技巧

1、将 PHP 指令 display_errors 设置为关闭

在站点上显示任何调试信息或者类似的信息,都是不可取的,任何 PHP 错误信息都不应该在访客或者潜在的攻击者面前出现。

解决方法:打开 wp-config.php,在 require_once 功能前添加如下内容:

ini_set('display_errors', 0);

2、将 wordpress 地址和站点地址设置为不同

移动 Wordpress 的核心文件到非默认目录将减少被攻击的机会,大多数脚本的使用者都会将脚本安装在默认路径。假如您的站点地址是 www.site.com,您能将 wordpress 文件置于 /var/www/vhosts/site.com/www/wp-core/,代替默认的 /var/www/vhosts/site.com/www/。站点地址和 wordpress 地址可以很容易的在设置->常规里进行改变。具体做法可以参考 wordpress codex

3、为 wp-config.php 设置正确的权限

wp-config.php 文件包含着敏感信息,并且格式是普通文本,未经任何加密,所以除了您之外应该杜绝任何人访问。假如您的主机是 Linux 或者 BSD,最好设置 chmod 为0400或0440,如果是 windows,则可以忽略。

4、删除 install.php

wordpress 安装后,如果保留 install.php 在默认路径的,那么任何人都能通过 web 访问,这显然是不可取的。最简单的方法就是删除它。

5、重命名 upgrade.php

wordpress 安装后,如果还保留 upgrade.php 在默认路径,那么任何人都能通过 upgrade.php 升级您的数据,这显然非常糟糕,upgrade.php 是一个有用的文件,但是应该杜绝其他人访问。最简单的方法是对 upgrade.php 重命名,比如 upgrade-876.php,或者移动到其它地方。不要删除它,您以后或许还需要。

6、保证用户密码强度

过于简单的用户密码,比如“12345”、“qwerty”、“god”,很容易被猜到,所以请保证您的用户密码强度。

7、取消选中“任何人都可以注册”

除非您正在运行社区类站点,否则这个设置应该被关闭。在设置->常规中取消选中“任何人都可以注册”即可。

8、将 PHP 指令 register_globals 设置为关闭

这是最值得关注的安全问题。假如您的主机默认开启了这个选项,立刻换一个主机服务商吧,PHP 手册已经阐述了为什么开启这个选项是如此危险。

解决方法:将 php.ini 中的如下内容

register_globals = on

改变为

register_globals = off

或者,在 .htaccess 中添加如下内容:

php_flag register_globals off

9、将 PHP 指令 expose_php 设置为关闭

将您站点的 PHP 版本公之于众是不明智的,它将会使黑客的攻击变得更容易。

解决办法:将 php.ini 中的如下内容

expose_php = on

替换为

expose_php = off

10、将 PHP 指令 allow_url_include 设置为关闭

开启这个指令将使您的站点暴漏在 XSS 攻击下,是一件非常冒险的事。

解决办法:将 php.ini 中的如下内容

allow_url_include = on

替换为

allow_url_include = off

11、关闭主题、插件的文件编辑功能

主题和插件的文件编辑功能是一个很棒的特性,有了它,您就能迅速的对主题和插件进行修改,而不用使用 FTP。不幸的是,它也是一个安全隐患,因为它显示了 PHP 代码,如果黑客获得了站点的管理权限,可以很方便的植入木马。

解决方法:在 functions.php 中添加如下内容:

define'DISALLOW_FILE_EDIT', true);

Comments