如何提高Wordpress的安全性

為了不讓你的博客哪天被人掛了個(gè)木馬鏈接，適當(dāng)?shù)姆婪豆ぷ鬟€是要做的。這里，我列舉了幾個(gè)常用的防范措施。 隱藏Wordpress的版本號(hào) 雖然Wordpress本身的安全性已經(jīng)很好了，但多少還是會(huì)有些Bug（不然就不會(huì)有那么多的補(bǔ)丁發(fā)布了），一不小心就可能會(huì)被黑客利用。除了經(jīng)常更新Wordpress之外，最好還是將Wordpress的版本號(hào)隱藏掉。 很多Wordpress主題，包括Wordpress默認(rèn)的主題，都會(huì)把Wordpress的版本號(hào)加在網(wǎng)站的頭部。在模板文件夾的header.php文件里你經(jīng)常會(huì)看到這樣一句話： meta name="genrator" content="WordPress php bloginfo('version'); ? / 這樣就直接泄露了你的Wordpress版本號(hào)，于是可能導(dǎo)致在你沒有來的及更新Wordpress時(shí)，被黑客利用舊版本中的Bug攻擊你的博客。 禁止用戶瀏覽目錄 有些主機(jī)默認(rèn)會(huì)允許用戶訪問目錄列表，你可以嘗試在瀏覽器中訪問“/wp-includes”目錄，看文件是否有被列出來。 Options All -Indexes 更多關(guān)于.htaccess的使用技巧可以參考我的另一篇文章： 《Wordpress中.htaccess的使用技巧》。 另外在Wordpress中，有很多不必要的路徑是不需要被搜索引擎抓取到的。比方以wp-開頭的管理面板。這個(gè)你可以在.htaccess中修改（方法見上面給出的那篇文章），也可以完全不管。因?yàn)槿缃竦乃阉饕呀?jīng)足夠只能，可以分析出網(wǎng)站所用的框架，并自動(dòng)過濾掉那邊不必要的文件了。 修改admin管理員名 Wordpress默認(rèn)會(huì)用admin做為管理員的名稱。這樣使得黑客可以暴力破解你的網(wǎng)站。所以你可以把管理員改為自己的用戶名。Wordpress 3.0以上的版本已經(jīng)原生支持修改管理員的功能了。另外，一個(gè)好的密碼也是很重要的，最好的密碼是大小寫混雜數(shù)字，并毫無意義，當(dāng)然，前提是你也要記得住才行哦~ 其實(shí)，我更建議你在管理員之外，再創(chuàng)建一個(gè)用戶，只賦予編輯權(quán)限，專門用來發(fā)布、修改文章。只有在必要的時(shí)候（比方添加刪除插件），再登陸管理員賬號(hào)。 文件夾權(quán)限登陸Wordpress后臺(tái)后，Wordpress經(jīng)常會(huì)提醒你，你的XXX目錄權(quán)限過低。很多時(shí)候，這條警告都會(huì)被用戶忽略掉，但其實(shí)文件的權(quán)限設(shè)置非常重要，過低的權(quán)限可以會(huì)導(dǎo)致黑客以一個(gè)其它用戶登陸系統(tǒng)，修改你的wordpress文件。 對(duì)于文件夾，一般755的權(quán)限就足夠了。 修改表的前綴 Wordpress默認(rèn)會(huì)經(jīng)wp_做為數(shù)據(jù)庫中表的前綴，筆者建議把它修改成一個(gè)隨即的值。這個(gè)在你安裝的時(shí)候可以選擇。對(duì)于已經(jīng)安裝好的博客，如果你不想手動(dòng)修改表和配置文件，可以用插件來幫你完成這項(xiàng)工作：Change DB Prefix。 利用插件提高安全性 Exploit Scanner： 掃描網(wǎng)站的中惡意代碼。 WordFence Security或WordPress Sentinel: 檢測(cè)Wordpress原文件是否被修改。 VIP Scanner：檢測(cè)被插入到你模板中的廣告信息。 最后，希望每個(gè)Wordpress站長(zhǎng)都能擁有一個(gè)安全的博客。引用朋友的一句話做結(jié)束語：做站長(zhǎng)，開心最重要。^_^

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括石阡網(wǎng)站建設(shè)、石阡網(wǎng)站制作、石阡網(wǎng)頁制作以及石阡網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，石阡網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到石阡省份的部分城市，未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

如何為Wordpress做安全防護(hù)

是需要做什么樣的安全防護(hù)呢？這個(gè)需要多個(gè)方面的來做才能做好，

一、服務(wù)器安全

選擇一個(gè)安全穩(wěn)定的服務(wù)器這個(gè)比較重要，一個(gè)是服務(wù)好二個(gè)是數(shù)據(jù)的安全，保證數(shù)據(jù)的定時(shí)備份。

二、程序的安全

這里包括，我們博客的主題是否是經(jīng)過檢測(cè)的，有沒有含有木馬后門等程序，這個(gè)尤其是網(wǎng)上下回來的主題，還有就是插件安全，不要隨意去網(wǎng)上下載插件來安裝，最好是直接用后臺(tái)去收索插件的名字來安裝。

三、管理員的習(xí)慣

這個(gè)主要是人工層面的東西，比如用戶口令是否是弱口令，是不是定期修改，還有及時(shí)重要的信息要保管好。我自己的，熊照旭博客，就是嚴(yán)格按照這些來做的，都沒出過什么問題。

怎樣防止 wordpress 登錄頁面被 post 提交暴力破解

推薦使用Limit Login Attempts這款插件，可以記錄登陸IP，同時(shí)可以設(shè)置登陸錯(cuò)誤時(shí)間，禁止同一用戶輸錯(cuò)密碼后進(jìn)行。重復(fù)登陸。禁止登陸的時(shí)間可以自由設(shè)置。

wordpress那個(gè)認(rèn)證怎么改

越來越多的網(wǎng)站支持添加二步認(rèn)證Two-Factor Authentication以提高安全性，在國內(nèi)更多是以賬號(hào)密碼+短信碼的方式，但海外網(wǎng)站可能更多采用二步認(rèn)證的方式。

如果你覺得有必要為你的WordPress網(wǎng)站開啟二步認(rèn)證，則可以繼續(xù)閱讀本教程，了解如何使用Google Authenticator或者SMS短信驗(yàn)證碼為WordPress添加Two-Factor Authentication。

為什么要為WordPress登錄添加二步驗(yàn)證？

黑客使用的最常見的技巧之一稱為暴力攻擊。通過使用自動(dòng)化腳本，黑客會(huì)嘗試猜測(cè)正確的用戶名和密碼以攻入WordPress 網(wǎng)站。

如果他們竊取了密碼或準(zhǔn)確猜到了密碼，則他們可能會(huì)用惡意軟件感染您的網(wǎng)站，比如掛馬、加密數(shù)據(jù)要挾。

保護(hù)WordPress網(wǎng)站免遭密碼被盜的最簡(jiǎn)單方法之一是添加二步認(rèn)證。這樣，即使有人竊取了密碼，他們無法跳過使用手機(jī)輸入安全代碼才能訪問的步驟。

有多種方法設(shè)置WordPress二步認(rèn)證登錄。但是，最安全、最簡(jiǎn)單的方法是使用身份驗(yàn)證器應(yīng)用程序。

方法 1. 使用WP 2FA插件添加二步認(rèn)證（更簡(jiǎn)單的方法）

方法 2. 使用Two Factor插件添加二步認(rèn)證

方法 1. 使用WP 2FA插件添加二步認(rèn)證

這種方法最為簡(jiǎn)單，推薦大家首選此方法。這個(gè)方法很靈活，允許您對(duì)所有用戶強(qiáng)制執(zhí)行二步身份驗(yàn)證。

首先，您需要安裝并啟用WP 2FA – Two-factor Authentication插件。

啟用后，您需要訪問用戶?您的個(gè)人資料頁面并向下滾動(dòng)到“WP 2FA Settings”部分。

點(diǎn)擊“Configure Two-factor authentication (2FA)”按鈕以啟動(dòng)設(shè)置向?qū)А?/p>

插件將要求您選擇一種身份驗(yàn)證方法：

使用您選擇的應(yīng)用程序生成的One-time code（推薦）

通過電子郵件發(fā)送給您的One-time code

建議您選擇app方式認(rèn)證，更安全可靠。然后單擊下一步按鈕繼續(xù)。

該插件將向您展示一個(gè)二維碼，您需要使用身份驗(yàn)證器應(yīng)用（authenticator app）掃描該二維碼。

什么是身份驗(yàn)證器應(yīng)用（Authenticator App）？

身份驗(yàn)證器應(yīng)用是一種智能手機(jī)應(yīng)用程序，可為您保存在其中的帳戶生成一個(gè)臨時(shí)的一次性密碼。

基本上，應(yīng)用和您的服務(wù)器使用密鑰來加密信息并生成一次性代碼，您可以將其用作第二層保護(hù)。

有很多這樣的應(yīng)用可以免費(fèi)使用。

最受歡迎的是Google Authenticator，但它并不是最好的。雖然它工作得很好，但它不提供可以在手機(jī)丟失時(shí)使用的備份。

我們建議使用Authy，因?yàn)樗且粋€(gè)易于使用且免費(fèi)的應(yīng)用程序，該應(yīng)用還允許您以加密格式將您的帳戶保存在云中。這樣，如果您丟失了手機(jī)，則只需輸入主密碼即可恢復(fù)所有帳戶。

其他密碼管理器（如LastPass、1password等）都帶有自己的身份驗(yàn)證器版本，它們都比Google身份驗(yàn)證器要好用得多，因?yàn)樗鼈冎С只謴?fù)密鑰。

在本教程中，我們將使用Authy作為示例。

首先，單擊身份驗(yàn)證器應(yīng)用程序中的添加帳戶按鈕：

然后，該應(yīng)用程序?qū)⒄?qǐng)求訪問您手機(jī)上的相機(jī)的權(quán)限。您需要允許此權(quán)限，以便您可以掃描插件設(shè)置頁面上顯示的二維碼。

身份驗(yàn)證器應(yīng)用現(xiàn)在將保存您的網(wǎng)站帳戶，并開始顯示可用于登錄的一次性密碼。

在插件的設(shè)置向?qū)е校瑔螕簟癐’m Ready”按鈕繼續(xù)。

該插件現(xiàn)在會(huì)要求您驗(yàn)證一次性密碼。只需在身份驗(yàn)證器應(yīng)用中單擊您的帳戶，它就會(huì)顯示一個(gè)六位數(shù)的一次性密碼，輸入該密碼。

之后，該插件將為您提供生成和保存?zhèn)浞荽a的選項(xiàng)。如果您無法使用手機(jī)，則可以使用這些代碼。您可以打印這些備份代碼并將它們保存在安全的地方。

之后，您可以退出設(shè)置向?qū)А?/p>

為所有WordPress用戶設(shè)置WP 2-FA兩步認(rèn)證登錄

如果您運(yùn)行多用戶WordPress網(wǎng)站，例如會(huì)員網(wǎng)站，則該插件還允許您為網(wǎng)站上的所有用戶啟用或強(qiáng)制執(zhí)行二步認(rèn)證登錄驗(yàn)證。

只需轉(zhuǎn)到設(shè)置?Two-factor Authentication頁面即可配置插件設(shè)置。

該插件支持為所有用戶啟用二步認(rèn)證登錄，強(qiáng)制所有用戶登錄，并給用戶足夠的時(shí)間進(jìn)行設(shè)置。

如果您的WordPress網(wǎng)站使用自定義登錄表單頁面，那么您還可以創(chuàng)建一個(gè)自定義頁面，用戶無需訪問WordPress管理后臺(tái)即可在其中管理其二步認(rèn)證身份驗(yàn)證器設(shè)置。

不要忘記單擊“保存更改”按鈕來存儲(chǔ)您的新設(shè)置。

以下是用戶輸入常規(guī)WordPress密碼后，WordPress默認(rèn)登錄界面要求輸入二步認(rèn)證身份驗(yàn)證代碼。

方法 2. 使用Two Factor插件添加二步認(rèn)證

這種方法不太靈活，因?yàn)樵摬寮恢С譃樗杏脩魪?qiáng)制執(zhí)行兩步認(rèn)證登錄。每個(gè)用戶都必須自己設(shè)置，并且可以從他們的個(gè)人資料中禁用它。

首先，您需要安裝并啟用Two Factor插件。

啟用插件后，訪問用戶?個(gè)人資料頁面并向下滾動(dòng)到Two-Factor Options部分。

從這里，您需要選擇一個(gè)二步認(rèn)證登錄選項(xiàng)。該插件支持使用電子郵件、身份驗(yàn)證器應(yīng)用和FIDO U2F安全密鑰方法。

我們建議使用身份驗(yàn)證器應(yīng)用方法。只需下載Google Authenticator、Authy 或 LastPass Authenticator等身份驗(yàn)證器應(yīng)用，然后掃描屏幕上顯示的二維碼。

掃描二維碼后，應(yīng)用程序?qū)⑾蚰@示驗(yàn)證碼，您需要在插件選項(xiàng)中輸入該驗(yàn)證碼，然后單擊提交按鈕。

該插件現(xiàn)在將設(shè)置密鑰。您可以隨時(shí)從設(shè)置頁面重置此密鑰以重新掃描二維碼。

不要忘記單擊“Update Profile”按鈕以保存您的設(shè)置。

現(xiàn)在，每次您登錄WordPress網(wǎng)站時(shí)，系統(tǒng)都會(huì)要求您輸入手機(jī)上應(yīng)用生成的驗(yàn)證碼。

關(guān)于WordPress中二步認(rèn)證 (2FA) 的常見問題

以下是有關(guān)在WordPress中使用兩步認(rèn)證登錄的一些常見問題的解答。

1. 如果無法訪問手機(jī)，如何登錄？

如果您使用的是帶有Authy等云備份選項(xiàng)的身份驗(yàn)證器應(yīng)用，那么您也可以在筆記本電腦上安裝該應(yīng)用程序。

即使沒有隨身攜帶手機(jī)，您可以訪問身份驗(yàn)證代碼。它還支持在購買新手機(jī)時(shí)恢復(fù)您的密鑰。

上面提到的兩種方法還支持您生成備份代碼。當(dāng)您無法使用手機(jī)時(shí)，這些代碼也可用作一次性密碼。

2. 如何不用密碼登錄？

如果您無權(quán)訪問手機(jī)、筆記本電腦或備用代碼，則只能通過禁用該插件來登錄。

停用所有插件后，它還將禁用二步身份驗(yàn)證插件，您將能夠登錄到您的WordPress網(wǎng)站。登錄后，您可以重新啟用插件并重置二步身份驗(yàn)證設(shè)置。

3. 我還需要密碼保護(hù)WordPress管理文件夾嗎？

從使用HTTPS和安全WordPress托管等基礎(chǔ)知識(shí)開始，當(dāng)您擁有多層安全保護(hù)來保護(hù)您的網(wǎng)站時(shí)，網(wǎng)站安全效果最佳。二步認(rèn)證的主要目的是加強(qiáng)WordPress登錄安全，但您可以通過密碼保護(hù)WordPress管理后臺(tái)使其更加安全。

如果的WordPress網(wǎng)站是一個(gè)會(huì)員網(wǎng)站、在線商店或在線課程網(wǎng)站，就更應(yīng)該做二步認(rèn)證登錄。

關(guān)于WordPress安全，建議大家可以閱讀“如何有效地保護(hù)您的WordPress站點(diǎn)免受攻擊入侵”和“WordPress網(wǎng)站免費(fèi)SSL證書申請(qǐng)及配置教程”，來進(jìn)一步完善WordPress安全防護(hù)措施。

原創(chuàng)文章，作者：微想小云，如若轉(zhuǎn)載，請(qǐng)注明出處：

Wordpress下載Wordpress主機(jī)推薦Wordpress使用心得Wordpress怎么建站W(wǎng)ordpress插件Wordpress虛擬主機(jī)Wordpress問題解決

贊 (0)

生成海報(bào)

如何有效地保護(hù)您的WordPress站點(diǎn)免受攻擊入侵

上一篇2022年 9月 24日 am8:13

如何正確地刪除WordPress

分享名稱：wordpress爆力 wordpress portfolio
分享地址：http://chinadenli.net/article38/dogcdpp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)網(wǎng)站制作、網(wǎng)站排名、、網(wǎng)站策劃、用戶體驗(yàn)、品牌網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)