如果你想让你的WordPress博客免受入侵,有两种方法可以消除基本的攻击:将wp-config.php文件移到一个目录下的非公共区域和删除管理员用户帐户。这两种方法都无法阻止一个意志坚定、技术娴熟的歹徒,但就像使用自行车锁一样,它们可以将基本的暴徒挡在门外。raksmart韩国服务器分享怎样使WordPress网站更安全
博客网站Problogger建议保持Wordpress、插件和主题的更新以及使用安全密码是保持网站安全的最有效方法。他们还指出,将wp-config.php文件从/home/user/public_html/wp-config.php升级到/home/user/wp-config.php;将配置文件保存在公共场所意味着足够熟练的作恶者可以通过破坏WordPress配置设置来注入恶意软件或删除您的站点。WordPress自动知道查找wp-config.php位置,但如果您的博客位于子目录(你的域名.com/blog)或作为cPanel中的附加域,则此技巧将不起作用。推荐阅读:《导致你的WordPress被黑客攻击的5个常见原因》
所有接触过WordPress的人都知道admin通常是WordPress安装的默认帐户,大多数人从不删除该帐户。这使得使用暴力破解技术变得很容易,因为用户名是已知的。所以去创建一个新的帐户与管理员特权和删除管理员帐户;您将有机会将所有帖子的属性更改为新的管理员用户名。如果无法删除管理员用户名,请确保“常规设置”下的电子邮件地址与新帐户匹配,而不是与管理员帐户匹配。
使用WordPress作为博客或网站背后的平台,你可能知道,不仅在软件本身,而且在插件中也存在很多安全漏洞。针对这些问题,我们将研究如何通过锁定管理文件夹来防止黑客攻击。
Apache web服务器有一个内置机制,允许您为文件夹分配所需的密码,该密码与WordPress密码是分开的。在WP管理目录中创建名为.htaccess的文件,我们将在下一步中创建的.htpasswd文件的完整路径。在shell提示符下使用pwd命令可以找到完整路径。推荐阅读:《如何保护您的 WordPress 免受暴力攻击》
接下来需要使用htpasswd命令行实用程序来创建密码文件。我还建议您使用与WordPress安装不同的用户帐户和密码。您需要确保您位于创建密码文件在指定的目录中,并将更改为您的站点唯一的名称。
此时,当您导航到WordPress管理面板时,应该提示您输入密码。如果出现服务器错误,则应该删除.htaccess文件并重新开始。最后,您应该确保使用chmod命令删除对这两个文件的写入权限,作为另一个安全层。推荐相关阅读:《如何联系WordPress支持》
