首先这个帖子要感谢@料神 某天中午无私的分享,然后我自测了一下自己的WP网站,的确存在很多安全隐患,这些隐患都是很小但是很重要,首先请看以下内容
>
**1. 在浏览器中打开如下网址看看有什么效果?**{{{
http://你的WordPress安装地址/wp-admin/images/
}}}
答:通常会出现很多图片,设置方法最简单的就是,在后台images目录下放一个空白index.php或index.html,举一反三,有哪些文件夹不希望别人访问,就放一段空白php或html;
**更新:Bluehost主机学员可以参考以下链接设置自Index Manager避免访问后台链接:[Index Manager](https://my.bluehost.com/cgi/help/414)**
> **2.在浏览器中打开如下网址,随意输入用户名和密码,看看你的博客允许你输错多少次?**{{{http://你的WordPress安装地址/wp-admin/ }}}
答:之前米问看到部分学员的网站被黑了,极可能是黑客在登陆页暴利破解了wp密码,这时需要下载插件[Limit Login Attempts](https://wordpress.org/plugins/limit-login-attempts/) 限制你的登陆页输错密码次数,相关插件还有很多,可以参考。
> **3.是不是任何人都可以打开你的WordPress后台登陆页面?**
答:接上一条,为了避免陌生人随意访问你的登录页,需要加一段代码防止随意登陆wp-admin或wp-login.php;
找到主题目录下的functions.php,在最后加入一段如下代码:
{{{
function login_protection(){
if(($_GET['admin']!='name')||($_GET['pwd']!='password'))header('Location:http://www.abc.com');
}
add_action('login_enqueue_scripts','login_protection');
}}}
复制如上代码,将 **name,password,www.abc.com** 换成你自己的,当你要登陆时,必须需要输入如下代码才能
{{{
www.abc.com/wp-login.php?admin=name&pwd=password
}}}
同样将name , password 改成你自己的名字和密码。
hostease同学请看过来,弄完如上操作还是不能实现的话,记得在public_html下新建的php.ini里添加:
{{{
output_buffering = on
}}}
其他主机可以跳过。
> **4.删除你的wordpress版本号**
每个版本的wordpress都存在一定的漏洞,为了防止别人知道自己的网站wp版本进而掌握漏洞,需要删除自己的wp版本号,可以在网站首页查看源代码搜wordpress看是否显示版本号。
删除版本号有两种方法,都在在主题下的functions.php里添加添加代码:
{{{
① remove_action('wp_head', 'wp_generator');
}}}
{{{
②
// 同时删除head和feed中的WP版本号
function ludou_remove_wp_version() {
return '';
}
add_filter('the_generator', 'ludou_remove_wp_version');
// 隐藏js/css附加的WP版本号
function ludou_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
// 用WP版本号 + 12.8来替代js/css附加的版本号
// 既隐藏了WordPress版本号,也不会影响缓存
// 建议把下面的 12.8 替换成其他数字,以免被别人猜出
$src = str_replace($wp_version, $wp_version + 12.8, $src);
}
return $src;
}
add_filter( 'script_loader_src', 'ludou_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'ludou_remove_wp_version_strings' );
}}}
此贴感谢[露兜博客](http://www.ludou.org/is-your-blog-safe.html)的知识分享,更多wp安全希望大家多关注。
网站要及时备份,用户名坚决不用admin等。
关注作者,看更多TA的好文章
个人展示
KeenTalk
谁在评论里提醒下这位作者,懒得连名片都没填写。
关注