WordPress已成为世界上最受欢迎的CMS。因为它是如此受欢迎,如果您将其用于您的网站,这更是增强WordPress安全性的一个原因。大多数人都了解如何使自己的网页本身安全,但是如果您不通过限制对重要文件和文件夹的访问来关注WordPress网站的安全性,那么您仍然面临风险。为此,您不会对WordPress本身进行任何更改,而是更改WordPress在服务器上运行以及访问用户对其文件的访问量。
步骤1:限制访问WP-INCLUDES文件夹
WordPress网站由一系列文件和文件夹组成,每个文件和文件夹都有自己独特的URL,这意味着如果有人输入正确的URL,他们可以访问或更改运行您的站点的敏感文件。这种黑客最常见的目标之一是wp-includes文件夹,因此我们将为服务器配置文件添加一些附加代码,以加强安全性并防止这些威胁。完成此操作后,任何尝试访问这些文件的用户都将被重定向回退。
要开始,您将需要为您的网站打开.htaccess文件。您可以通过任何文本编辑器执行此操作,无关紧要,因为我们正在做的是向文件添加一小段代码。您会注意到该文件已经由WordPress生成的代码。在代码的早期代码之一,你会发现一条线# BEGIN WordPress
。直接在这段代码之上,我们将添加额外的代码行,这将通过限制对wp-includes文件夹的访问来强化站点的防御。
# Blocking web access to the wp-includes folder
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
之后,您只需要将文件重新上传到服务器即可完成。虽然这里的变化似乎很小,但可能会对您的网站的防御产生很大的影响。由于WordPress的许多高级功能都位于wp-includes文件夹中,因此它们是黑客的主要目标。执行这些更改后,当用户尝试访问此文件夹时,它们将自动重定向到您网站的首页。
步骤2:保护WP-CONFIG.PHP
我们强化WordPress安全性的下一步是限制对wp-config.php文件的访问。当您第一次创建WordPress网站时,您必须创建一个数据库名称,用户名,密码和表前缀,它包含在wp-config.php文件中。您要保护此文件的原因是因为它包含WordPress需要与数据库通信的信息,并从长远来看,控制您的站点。
为了保护你的wp-config.php文件,你只需要做一些简单的步骤。首先,我们将再次打开.htaccess文件。接下来,我们将要复制下面的代码片段,并将其粘贴到我们的.htaccess文件中,就像我们在第1步中所做的那样。
# Blocking web access to the wp-config.php file
<files wp-config.php>
order allow,deny
deny from all
</files>
最后,保存并重新上传文件。
步骤3:保护.HTACCESS文件本身
正如你可以看到步骤1和2,.htaccess文件是内在的保卫您的WordPress网站免受恶意的外部威胁。这就是为什么在这一步我们将保护.htaccess文件本身,防止黑客删除我们已经建立的保护。
为此,我们将再次打开.htaccess文件。接下来,将下面的代码插入到现有代码中。
# Securing .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
通过这个简单的补充,您的.htaccess文件受到外部威胁的保护。
步骤4:删除文件编辑器访问
对于最后一步,我们将禁止黑客访问他们可以获得的最具破坏性的工具之一:WordPress仪表板中的编辑器。它允许您编辑您的主题文件,这是有帮助的,但可能是危险的。如果除了你自己以外的人可以访问这个,那么他们可以改变你的代码并破坏你的网站。
使用此项目,我们将从WordPress仪表板中删除编辑器。而不是通过WordPress访问该文件,我建议您通过ftp客户端访问它,如FileZilla,这更适合于站点完整性。
所以要做这个项目,我们首先要打开wp-config.php文件。一旦我们开放,我们将要去代码的最后,在这里你会发现文本“那就是,停止编辑!快乐博客“。在本文之前,我们将添加以下代码,以完全从WordPress中删除文件编辑。
define('DISALLOW_FILE_EDIT', true);
一旦添加了代码,保存文件并将其重新上传到服务器。现在您的WordPress网站是安全的任何人访问您的网站,并试图操纵代码。
知道你的网站是安全的
如果您遵循所有这些步骤,您的网站应该更安全。通过减少黑客对运行网站重要的访问权限,您可以增加WordPress网站的整体安全性。