保护 WordPress 博客安装

Question

除了为我的博客用户和数据库连接设置安全密码之外，我还应该做些什么来确保我的 WordPress 安装在我的 Linux 共享服务器上是安全的？

Answer 1

确保您没有像某些指南那样将文件权限设置为“chmod 777”。仔细查看您的 Web 服务器帐户或组可以写入的任何内容，并确保它们只是您希望动态更新的区域（图像、附件等）。

Answer 2

我认为最好的建议在官方的“强化 Wordpress”文档中得到了很好的解释：

https://wordpress.org/support/article/hardening-wordpress/

最后，这些是针对每个应用程序的相同建议：

• 保持更新。
• 使用好的密码
• 减少您呈现的信息（版本、服务器信息等）。

如果你想通过默默无闻来提高安全性（不仅是这么想的，而是作为一个额外的措施），这个文档给出了一些想法：

http://sucuri.net/?page=docs&title=wordpress-hardening

Answer 3

仅通过 SSL 连接登录。

如果您进入一家咖啡店并在http://www.yourblog.com/wp-admin/ 上登录，您的密码将以明文形式发送，任何嗅探咖啡店网络和您和您之间的所有路由器的人都可以轻松看到您的密码。服务器。

如果您将博客登录页面移至安全服务器并强制用户使用 SSL 登录 https://www.yourblog.com/wp-admin/，密码将在发送到服务器时加密。

您可以向 wordpress 添加一些 PHP 代码，如下所示

if(strpos(strtolower($_SERVER['REQUEST_URL']),'wp-admin')===true 
      && $_SERVER['HTTPS']!='ON')
{
    Header("Location: https://www.yourblog.com/wp-admin/")
}

或者使用一个 .htaccess 文件来强制执行 SSL 登录，它看起来像这样：

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}