西部数码主机 | 阿里云主机| 虚拟主机 | 服务器 | 返回乐道官网
当前位置: 主页 > php教程 > wordpress教程 >

提高WordPress安全性的5个方法

时间:2016-10-10 17:55来源:未知 作者:好模板 点击:
无论你的网站规模是大还是小,丢失站点数据,或是无法管理你自己的站点,都会让你神经紧绷。WordPress驱动着全世界25%的Web,对于黑客来说,WordPress网站是他们最重要的目标之一。

无论你的网站规模是大还是小,丢失站点数据,或是无法管理你自己的站点,都会让你神经紧绷。 WordPress 驱动着全世界 25% 的 Web ,对于黑客来说, WordPress 网站是他们最重要的目标之一。

在这篇文章中,我们将会讨论一些加强 WordPress 安全性的小 tip 。

 

1. Bcrypt 密码散列

WordPress 成立于 2003 年,那时 PHP 和 Web 还刚刚起步。那时候 Facebook 还没有出现, PHP 还没有 OOP 架构;因此,今天 WordPress 的安全性已经稍显过时,例如其密码加密的方式。

如今 WordPress 还在使用 MD5 散列。基本上说,它只是把 123456 变成这样: e10adc3949ba59abbe56e057f20f883e 。

然而,如今的计算机比 10 年前要复杂精密的多,因此这样的密码可以被轻易攻破。

自从 5.5 版本之后, PHP 有了本地的加密方式,如果你的 WordPress 网站,所使用的 PHP 版本高于 5.5 ,你可以使用这个功能。

你可以安装 Composer 或是 MU-Plugins 插件,重新保存你的密码。

2. 启用 WordPress.com 防护

Brute-force是黑客最常用的密码破解方式。因此,你需要设定一些非常难猜的密码。

WordPress.com 的母公司 Automattic 收购了一个非常流行的防 brute-force 插件。这个插件的名字叫 BruteProtect ,它如今已经被整合到 Jetpeck 里面了。

事实证明,这个插件的防护效率非常好。

首先,你需要安装最新版本的 Jetpack ,然后将你的网站连接至 WordPress.com 。之后打开防护模块,将你自己的 IP 添加到白名单中。

之后,你的网站就更加安全了。

3. 隐藏登录 URL

谁都知道,要想登录 WordPress 后台,你只需要在域名后面加上 wp-login.php ,不仅你知道,黑客也知道。因此,你需要隐藏你的登录 URL ,让这个 URL 只对你开放。

幸运的是,你可以通过一些简单的插件来实现这个目的:

• iThemes Security

• WPS Hide Login

4. 关闭 “ 忘记密码 ”

“ 忘记密码 ” 功能能让你通过其他方式找回你的密码,但是黑客们也可以通过这个方式来获取你的密码。因此,你最好关闭这个功能。

我们需要创建一个新的文件并且上传,将其命名为 forget-password.php 。

首先,我们要更改丢失密码的 URL :

 function lostpassword_url() {

  return site_url( 'wp-login.php' );

}

add_filter( 'lostpassword_url','lostpassword_url' );

移除链接。但是, WordPress 本身并不支持这个操作,因此我们需要使用 JavaScript 。

 function lostpassword_elem( $page ) { ?>

<script type="text/javascript">

(function(){

  var links = document.querySelectorAll( 'a' );

  for (var i = links.length - 1; i >= 0; i--) {

    if ( links[i].innerText === "Lost your password?" ) {

      links[i].parentNode.removeChild( links[i] );

    }

  };

}());

</script>

<?php }

add_action( 'login_footer', 'lostpassword_elem' );

最后,将 “ 丢失密码 ” 的 URL 重定向到登录页。

 function lostpassword_redirect() {

  if ( isset( $_GET[ 'action' ] ) ){

      if ( in_array( $_GET[ 'action' ], array( 'lostpassword', 'retrievepassword' ) ) ) {

      wp_redirect( '/wp-login.php', 301 );

      exit;

    }

  }

}

add_action( 'init','lostpassword_redirect' );

5. 启用 HTTPS

HTTPS 为你的站点提供了多一层的防护,而且还能提升你在搜索引擎中的排名。现在你可以通过 Let’s Encrypt 这个项目免费获得 HTTPS 证书。

对于 WordPress 网站来说,你可以使用 WP Encrypt 轻松使用这个证书。我建议你现在就去是用 HTTPS 。

总结

我想要提醒你,无论你做了多少努力,都无法彻底杜绝密码被盗的风险。即使是 Dropbox 和 LinkedIn 这样的大企业,都遭受过安全威胁。

最好的方式,就是定期备份网站的文件和数据库。

(责任编辑:好模板)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
栏目列表
热点内容