WordPress 安全技巧

英文原稿:3 Must Apply Security Tips for WordPress | DailyBlogTips
翻译整理:3 个必须的 WordPress 安全技巧 | 芒果

保证 WordPress 的安全性是非常有必要的,以下是翻译整理自国外的 3 个 WordPress 安全技巧。

1. 确保 /wp-admin/ 目录的安全

很明显,管理目录 /wp-admin/ 存放了大量重要文件。WordPress 默认情况下并未对此目录设定访问限制,这也许会成为不法访客的后门。
据此,不妨建立一个 .htaccess 文件来阻止非特定 IP 地址对该目录的访问。以下是该 .htaccess 中应该添加的代码:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
</LIMIT>

其中 xx.xx.xx.xx 为放行的 IP 地址。

2. 隐藏插件目录

由 WordPress 插件所带来的错误和漏洞,可能被利用来侵害你的网站。
因主机而异,有些时候直接访问 /wp-content/plugins/ 会暴露目录文件。为了掩盖这一现象,只需在此目录放置一个空白的 index.html 文件,其他目录也是一样的道理。WordPress 2.8 版本中默认已自带 index.php 空白文件。

3. 及时安装补丁和更新

为了博客安全运行,需要及时使程序保持最新。建议订阅 WordPress 开发博客 以获得相关的信息。

另外,去除源代码中的 WordPress 版本标识能防止程序版本的泄露,可以在 header.php 文件中用以下代码移除:

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>