几个WordPress安全插件介绍

[复制链接]
查看: 1453   回复: 13
发表于 2010-5-27 13:32:36 | 显示全部楼层 |阅读模式
服务器端和.htaccess

保护WordPress网站安全的第一步自然是寻找安全的虚拟主机托管商。 服务器安全是所有安全措施的基础。

锁定.htaccess

.htaccess文件有很多用途,但它最主要的功能,是防止黑客入侵。你可以在.htaccess文件里指定一些有权登录你的WordPress 后台的IP地址。

在.htaccess文件里加入下面的代码可以达到这个效果:

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName “Access Control”

AuthType Basic

order deny,allow

deny from all

#IP address to Whitelist

allow from 123.456.789.012

用你指定的IP地址代替其中的123.456.789.012。

禁用目录浏览
一些服务器设置允许目录浏览,即你可以通过http://yoursite.com/wp-plugins/这样的链接看到自己的插件内容。 要禁用目录浏览,只需要在.htaccess文件里加上下面的代码:

Options All -Indexes

保护.htaccess

.htaccess文件的安全保护不容忽视。 首先你可以将文件的权限改为CHMOD 644。通过FTP登录进入服务器,然后进入网站根目录(通常是public_html文件夹,除非你为WordPress另设了一个独立文件夹)。 找到.htaccess文件后右击文件,将权限设为644。第二种方法是在.htaccess文件的最下部分加上以下代码:

<Files wp-config.php>
Order Deny,Allow
Deny from All
</Files>

优化wp-config文件

.htaccess文件之后接下来是wp-config.php文件。

移动wp-config文件

从WordPress 2.6开始,WordPress用户可以将wp-config.php文件移到当前安装文件的上级文件夹中。 如果在当前WordPress目录下没有发现wp-config文件,WordPress会自动检查wp-config文件是否在其上层目录中。

更改WordPress表前缀

安装时WordPress的默认表前缀是wp_。 刚刚安装完后要修改WordPress表前缀是件很容易的事,但当你的WordPress网站已经运行了一阵子时,修改表前缀就不是那么容易的事了。 WP Security Scan插件就是为了解决这个问题而出现的。 你可以用这个插件修改默认的表前缀。 这样攻击者在试图进入你的WordPress文件时就又多了一层障碍。

定义安全密钥

你可以在wp-config文件中看到下面的内容:

/**#@+
*Authentication Unique Keys.
* Change these to different unique phrases!
* You can generate these using the

{@link https://api.wordpress.org/secret-key/1.1/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.

* @since 2.6.0

*/

define(‘AUTH_KEY’, ‘put your unique phrase here’);

define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);

define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);

define(‘NONCE_KEY’, ‘put your unique phrase here’);

/**#@-*/

代码中的链接给出了一套密钥规则,你可以用所给的规则来代替代码中的四行define规则。

WordPress安全插件

值得庆幸的是,WordPress拥有为数不少的安全插件。 下面只介绍一些最基础最重要的安全插件。

WP Security Scan插件

WP Security Scan插件会查看你的WordPress安装文件,看是否有安全漏洞并给出相应的意见。 该插件的查看范围包括:

1、密码
2、文件权限
3、数据库安全
4、版本号的隐藏
5、WordPress后台安全
6、从核心代码中移除WP Generator META标签

Login LockDown WordPress Security 安全插件

Login LockDown记录尝试登陆WordPress失败的所有IP地址和时间。 如果插件发现短时间内同一个IP段内多次登录失败,插件会对禁止该IP段内所有登录请求。 Login LockDown有效阻止了暴力破解密码。


Stealth Login插件

用户可以通过这款插件自定义登录、登出、注册所用的URL。

AntiVirus for WordPress插件

AntiVirus for WordPress是一款保护Blog不被采集和垃圾评论入侵的有效插件。 这款插件的用途包括: 检测可能存在的平台漏洞、病毒感染、恶意链接等。AntiVirus for WordPress还可以给你发送邮件通知和白名单。安全预防措施

以下是一些简单的安全预防措施:

1、时将WordPress和插件都更新到最新版本
2、除不用的WordPress主题和插件
3、用安全程度较高的密码
4、使用“admin”为登录名
5、WordPress文件规定正确的文件许可权限
6、期备份WordPress数据库(可利用备份插件)
发表于 2010-5-27 14:32:45 | 显示全部楼层
多谢 又学到了
回复 支持 反对

使用道具 举报

发表于 2010-5-27 15:37:48 | 显示全部楼层
是啊,还不了解这些插件
学习了
回复 支持 反对

使用道具 举报

发表于 2010-5-27 16:34:42 | 显示全部楼层
感谢楼主,很受用.
回复 支持 反对

使用道具 举报

发表于 2010-5-27 16:37:44 | 显示全部楼层
谢谢分享,受教了
回复 支持 反对

使用道具 举报

发表于 2010-5-27 16:57:46 | 显示全部楼层
看了半天,不错
回复 支持 反对

使用道具 举报

发表于 2010-5-27 18:39:26 | 显示全部楼层
嗯 不错 very good!
回复 支持 反对

使用道具 举报

发表于 2010-5-27 19:34:33 | 显示全部楼层
刚在隔壁看了几个WordPress安全插件介绍
回复 支持 反对

使用道具 举报

发表于 2010-5-27 23:00:18 | 显示全部楼层
路过。。。。。。。。。
回复 支持 反对

使用道具 举报

发表于 2010-5-28 10:31:24 | 显示全部楼层
感谢楼主分享
回复 支持 反对

使用道具 举报

发表于 2010-5-28 16:18:12 | 显示全部楼层
好多啊,不错
回复 支持 反对

使用道具 举报

发表于 2010-6-5 09:23:33 | 显示全部楼层
谢谢,回去研究下!!
回复 支持 反对

使用道具 举报

发表于 2010-6-6 11:25:58 | 显示全部楼层
我也看了半天,没怎么明白,谢谢了
回复 支持 反对

使用道具 举报

发表于 2010-6-16 14:51:16 | 显示全部楼层
好东西 谢谢分享
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则