11招增强WordPress安全

11招增强WordPress安全

禁止目录浏览

许多主机默认情况下，都允许目录浏览，这导致通过浏览器任何人都可以看到网站的所有文件。下面介绍两个禁止目录浏览的方法：其一是修改.htaccess文件；其二是适用于使用cPanel控制面板的主机。

方法1

修改.htaccess文件，将以下代码添加到.htaccess文件即可。

# disable directory browsing Options All -Indexes

Tips：在修改或是替换原有的.htaccess文件前，一定要备份旧的文件，以便出现问题的时候可以方便的恢复。

方法2

Tips：在索引保护中共有四个选项：默认系统设置、无索引、标准索引（仅限文本）、喜好索引（图像和文本）。

使用以上方法禁止目录浏览后，再使用浏览器查看目录会出现“403 Forbidden”的提示。

附：以下有10个安全技巧，可以帮助你轻松的解决WordPress安全性问题，以免你在WordPress的安全性上走更多的弯路。

1、升级WordPress到最新版本

一般来说，新版本的WordPress安全性都会比老版本要好一些，并且解决了已知的各种安全性问题，特别当遇到重大的版本升级时，新版本可能会解决更 多的关键性问题。（例如老版本WordPress有remv.php重大漏洞，可能会导致遭受DDoS***，升级到最新2.7版本可解决这个问题）

2、隐藏WordPress版本

编辑你的header.php模板，将里面关于WordPress的版本信息都删除，这样***就无法通过查看源代码的防治得知你的WordPress有没有升级到最新版本。

3、更改WordPress用户名

每个***都知道WordPress的管理员用户是admin，具有管理员权限，会***这个用户，那么你需要创建一个新用户，将其设置为管理员权限，然后删除老的admin帐号，这就能避免***猜测管理员的用户名。

4、更改WordPress用户密码

安装好WordPress后，系统会发送一个随机密码到你的信箱，修改这个密码，因为这个密码的长度只有6个字符，你要将密码修改为10个字符以上的复杂密码，并尽量使用字母、数字、符号相混合的密码。

5、防止WordPress目录显示

WordPress会默认安装插件到/wp-content/plugins/目录下，通常情况下直接浏览这个目录会列出所有安装的插件名，这很糟糕， 因为***可以利用已知插件的漏洞进行***，因此可以创建一个空的index.html文件放到这个目录下，当然，修改Apache的.htaccess文 件也可以起到相同的作用。

6、保护wp-admin文件夹

你可以通过限定IP地 址访问WordPress管理员文件夹来进行保护，所有其他IP地址访问都返回禁止访问的信息，不过你也只能从一两个地方进行博客管理。另外，你需要放一 个新的.htaccess文件到wp-admin目录下，防止根目录下的.htaccess文件被替换。

7、针对搜索引擎的保护

很多WordPress系统文件不需要被搜索引擎索引，因此，修改你的robots.txt文件，增加一行Disallow: /wp-*

8、安装Login Lockdown插件

这个插件可以记录失败的登录尝试的IP地址和时间，如果来自某一个IP地址的这种失败登录超过一定条件，那么系统将禁止这一IP地址继续尝试登录。

9、WordPress数据库安全

数据表最好不要使用默认的wp_开头，安装数据库备份插件，无论做了多少保护，你还是应该定期备份你的数据库，使用WordPress Database Backup等插件可以实现数据库的定期备份。

10、安装Wordpress Security Scan插件

这个插件会自动按照以上的安全建议对你的WordPress进行扫描，查找存在的问题，使用较为简单。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。