我们在维护网站的时候,一旦网站上线,即会遭到各种网络威胁,不管是竞争对手,还是蓄意捣乱的黑客,他们都会时不时的尝试攻破你的网站,修改你的网站,挂上木马,或者删除文件。那么在网络威胁日益严重的今天,我们如何防范自己的wordpress网站遭受攻击呢?
保持升级你的wordpress版本到最新
这一点不可置疑,wordpress每次的更新,都会带有大量的安全漏洞更新,让你的网站防御力更强大,在更新版本之前,应该检查自己的网站所安装的插件是否能够兼容新版本,主题是否能够在新版本中保持良好的效果,然后开始跟新wordpress最新版本。最好的方法是在本地进行测试,安装所有你安装的插件和主题,看是否出错,没有出错再更新你的主题。
修改/禁用WordPress登录错误的提示信息
我们知道,wordpress在登录时,如果用户名正确,而密码错误,会有一个小提示“xxx密码不正确”,如下图,这样的提示其实是存在危险的,这样会让攻击者知道你真正的登录账号,从而使用暴力破解工具破解你的密码.
那么,我们需要屏蔽这个提示,让破解者无法知道我们正确的登录账户,修改上面的“demo的密码不正确” 文字,添加如下代码到你的functions.php:
function failed_login() {
return '密码或者用户名错误';
}
add_filter('login_errors', 'failed_login');
如果你想彻底屏蔽他们,那么加入下面的代码到你的functions.php:
add_filter('login_errors', create_function('$a', "return null;"));
设定输入密码错误锁定用户
使用 User Locker 插件,对连续输入密码错误次数过多的用户进行锁定,可以防范使用密码字典暴力破解用户密码,我们上一篇文章所介绍的Theme My Login也有这样的功能,就要看你是否需要开发用户注册了,你可以自由选择。
修改WordPress后台登录地址,提高安全性
众所周知,wordpress的登录地址是更目录/wp-admin,所以想要破解你的网站人,第一时间就会访问这个地址,尝试登录你的网站,所以,我们如果将这个地址修改成为一个我们自己设定的地址,那么破解者就很难找到我们的登录地址,从而达到防范的目的。
加入以下代码到你的functions.php中,记得替换你的自定义地址哦~ (小编提示您,最好不要用/denglu /login 等容易被猜出来的地址,可以使用一个比较长的自己知道的地址,不过记得用记事本记下来哦,以免自己给忘记了,如果自己忘记了也没关系,使用ftp将主题的functions.php下载下来,修改一下即可。
代码如下:
//保护后台登录
add_action('login_enqueue_scripts','login_protection');
function login_protection(){
if($_GET['woyaodenglu'] != 'press')header('Location: http://www.themepark.com.cn/);
}
这样,红色的字是你登陆的地址,如添加这段代码之后,登录地址转到了http://你的域名/wp-login.php?woyaodenglu=press 如果不是这个链接 则直接跳转http://www.themepark.com.cn/ 你可以自由修改这些
不要使用admin作为你的登陆账号
使用admin作为你的登陆账号,那么就太容易被发现你的登陆账号了,这样也是非常危险的,修改一个自己知道的用户名,让破解者去猜吧!
(责任编辑:好模板) |