以下技术需要 WordPress 管理员权限和足够的技术知识。在尝试执行这些步骤之前,请务必备份您的网站,并花点时间考虑联系 WordPress 安全专家。
将您的 WordPress 网站迁移到 SSL/HTTPS
SSL(安全套接字层)对用户浏览器和您的网络服务器之间传输的数据进行加密,从而增强您网站的安全性。
指示:
- 从托管服务提供商 医师数据库 处购买 SSL 证书或使用免费证书
- 通过您的托管账户安装并激活证书
- 转到“设置”>“常规”,将 WordPress 地址 (URL) 和站点地址 (URL) 从 http:// 更新为 https://,以更新 WordPress URL
- 通过将以下代码添加到 .htaccess 文件来强制使用 SSL:
更改 WordPress 登录页面 URL
默认情况下,WordPress 登录页面可通过 wp-login.php 或 wp-admin 轻松访问。更改此设置可帮助防止未经授权的登录尝试。
指示:
- 编辑 WordPress 根目录中的 .htaccess 文件并添加:
重写规则 ^mylogin$ https://%{SERVER_NAME}/wp-login.php?key=123&redirect_to=https://%{SERVER_NAME}/wp-admin [L]
- 将mylogin替换为新的 美观与功能如何投资 登录 URL slug,并将 123 替换为随机字符串。
更改默认的“admin”用户名
默认的“admin”用户名是黑客的目标,因此最好更改它。
指示:
- 通过前往“用户”>“添加新用户”在 WordPress 中创建新用户。
- 为新用户分配管理员角色。
- 注销并使用新的管理员帐户登录。
- 删除旧的“admin”用户并将所有内容归属于新用户。
禁用文件编辑
WordPress 允许管理员编辑插件 B2B 传真线索 和主题的 PHP 文件。禁用此功能可增强安全性。
指示:
- 将以下行添加到您的 wp-config.php 文件中:
定义(’DISALLOW_FILE_EDIT’,true);
在某些 WordPress 目录中禁用 PHP 文件执行
防止在 wp-content/uploads 等目录中执行 PHP 可以帮助防止恶意脚本运行。
指示:
- 在您想要保护的目录中创建一个 .htaccess 文件并添加:
全部否认
更改默认的 WordPress 数据库前缀
默认的wp_数据库前缀是众所周知的,因此更改它可以帮助保护您的数据库免受 SQL 注入攻击。
指示:
- 备份您的数据库。
- 转到 phpMyAdmin,选择您的数据库,然后选择“操作”选项卡。
- 在“表格前缀”下,将 wp_ 更改为您的新前缀(例如,wpnew_),然后单击“开始”。
禁用目录索引和浏览
这可以防止黑客看到您目录中的文件。
指示:
- 将以下行添加到您的 .htaccess 文件:
期权-指数
在 WordPress 中禁用 XML-RPC
XML-RPC 可被用于暴力攻击。禁用它可以增强安全性。
指示:
- 将以下代码添加到您的 .htaccess 文件:
# 阻止 WordPress xmlrpc.php 请求
命令拒绝,允许
拒绝所有人
自动注销 WordPress 中的空闲用户:
这可以防止未经授权使用空闲会话。
指示:隐藏 WordPress 版本
揭露 WordPress 版本可以为黑客提供寻找安全漏洞的宝贵信息。
指示:
- 将以下行添加到主题的 functions.php 文件中:
删除动作(’wp_head’,’wp_generator’);
阻止热链接
热链接可以通过从其他网站直接链接到您网站的文件来窃取带宽。
指示:
- 将以下代码添加到您的 .htaccess 文件:
检查用户角色并设置文件权限
仅向需要的人限制对敏感区域的访问,并为服务器上的目录和文件设置适当的文件权限。限制对关键文件和文件夹的访问。
WordPress 文件和目录使用三位数字代码来表示权限。每位数字对应一个特定的权限级别: