提高 WordPress 安全性的高级技术

以下技术需要 WordPress 管理员权限和足够的技术知识。在尝试执行这些步骤之前,请务必备份您的网站,并花点时间考虑联系 WordPress 安全专家。

将您的 WordPress 网站迁移到 SSL/HTTPS

SSL(安全套接字层)对用户浏览器和您的网络服务器之间传输的数据进行加密,从而增强您网站的安全性。

指示:

  • 从托管服务提供商 医师数据库 处购买 SSL 证书或使用免费证书
  • 通过您的托管账户安装并激活证书
  • 转到“设置”>“常规”,将 WordPress 地址 (URL) 和站点地址 (URL) 从 http:// 更新为 https://,以更新 WordPress URL
  • 通过将以下代码添加到 .htaccess 文件来强制使用 SSL:

 医师数据库

更改 WordPress 登录页面 URL

默认情况下,WordPress 登录页面可通过 wp-login.php 或 wp-admin 轻松访问。更改此设置可帮助防止未经授权的登录尝试。

指示:

  • 编辑 WordPress 根目录中的 .htaccess 文件并添加:

重写规则 ^mylogin$ https://%{SERVER_NAME}/wp-login.php?key=123&redirect_to=https://%{SERVER_NAME}/wp-admin [L]

更改默认的“admin”用户名

默认的“admin”用户名是黑客的目标,因此最好更改它。

指示:

  • 通过前往“用户”>“添加新用户”在 WordPress 中创建新用户。
  • 为新用户分配管理员角色。
  • 注销并使用新的管理员帐户登录。
  • 删除旧的“admin”用户并将所有内容归属于新用户。

禁用文件编辑  

WordPress 允许管理员编辑插件 B2B 传真线索 和主题的 PHP 文件。禁用此功能可增强安全性。

指示:

  • 将以下行添加到您的 wp-config.php 文件中:

定义(’DISALLOW_FILE_EDIT’,true);

在某些 WordPress 目录中禁用 PHP 文件执行

防止在 wp-content/uploads 等目录中执行 PHP 可以帮助防止恶意脚本运行。

指示:

  • 在您想要保护的目录中创建一个 .htaccess 文件并添加:


全部否认

更改默认的 WordPress 数据库前缀

默认的wp_数据库前缀是众所周知的,因此更改它可以帮助保护您的数据库免受 SQL 注入攻击。

指示:

  • 备份您的数据库。
  • 转到 phpMyAdmin,选择您的数据库,然后选择“操作”选项卡。
  • 在“表格前缀”下,将 wp_ 更改为您的新前缀(例如,wpnew_),然后单击“开始”。

禁用目录索引和浏览

这可以防止黑客看到您目录中的文件。

指示:

  • 将以下行添加到您的 .htaccess 文件:

期权-指数

在 WordPress 中禁用 XML-RPC

XML-RPC 可被用于暴力攻击。禁用它可以增强安全性。

指示:

  • 将以下代码添加到您的 .htaccess 文件:

# 阻止 WordPress xmlrpc.php 请求

命令拒绝,允许
拒绝所有人

自动注销 WordPress 中的空闲用户:

这可以防止未经授权使用空闲会话。

指示:隐藏 WordPress 版本

揭露 WordPress 版本可以为黑客提供寻找安全漏洞的宝贵信息。

指示:

  • 将以下行添加到主题的 functions.php 文件中:

删除动作(’wp_head’,’wp_generator’);

阻止热链接

热链接可以通过从其他网站直接链接到您网站的文件来窃取带宽。

指示:

  • 将以下代码添加到您的 .htaccess 文件:

检查用户角色并设置文件权限

仅向需要的人限制对敏感区域的访问,并为服务器上的目录和文件设置适当的文件权限。限制对关键文件和文件夹的访问。

WordPress 文件和目录使用三位数字代码来表示权限。每位数字对应一个特定的权限级别:

 

滚动至顶部