Ia adalah mimpi ngeri yang mengerikan: suatu hari anda membuka tapak web anda dan mengetahui bahawa anda telah digodam. Jika anda menjalankan blog peribadi yang ringkas, ini mungkin satu kejadian yang menjengkelkan. Jika anda mengehoskan tapak web pelanggan anda, hari anda boleh menjadi sukar dan tekanan. Jika anda menjalankan tapak e-dagang volum tinggi, ia boleh menjadi sumber panik. Tidak kira keadaan, anda tidak berkongsi berita menggunakan emoji gembira. Oleh itu, anda memerlukan strategi untuk mengelakkan serangan daripada berlaku.
Anda telah datang ke tempat yang betul. Dalam siri mini dua bahagian ini, saya akan menunjukkan kepada anda cara menjadikan projek WordPress anda seaman mungkin.
Adakah anda rasa WordPress selamat? Tidak mengapa jika anda tidak melakukannya, kerana ramai orang berpendapat WordPress adalah sistem pengurusan kandungan yang tidak selamat, tetapi tiada apa yang boleh jauh dari kebenaran…sekurang-kurangnya hari ini.
Apakah persamaan Microsoft Windows, Android, Google Chrome dan WordPress? Kedua-duanya adalah perisian yang sangat popular dan orang ramai menemui lubang keselamatan di dalamnya sepanjang masa. Walaupun semuanya kerap ditampal untuk pepijat dan kecacatan keselamatan, adakah kehadiran lubang keselamatan menjadikannya tidak selamat?
Maaf jika anda berfikiran berbeza, tetapi bukan itu yang berlaku. Tampalan yang kerap tidak semestinya bermakna sekeping perisian dikodkan dengan buruk terhadap ancaman keselamatan. Permainan kucing-dan-tikus antara pembangun dan penggodam akan sentiasa diteruskan, dan penggodam akan sentiasa mencari cara untuk memecahkan perisian. Jika perisian berskala seperti WordPress, peluang untuk menggodam juga meningkat.
Apa yang penting di sini ialah responsif dan pra-emption, dan itulah kelebihan WordPress. Anda perlu menunggu beberapa hari untuk Google Chrome memasang lubang keselamatan, malah beberapa minggu untuk Microsoft mengeluarkan pembetulan keselamatan, tetapi komuniti pembangun WordPress yang besar akan dapat menampal lubang keselamatan sifar hari sebelum tamat tahun 2019. Hari pertama. Selain itu, terdapat seluruh pasukan yang berdedikasi untuk melindungi teras WordPress, jadi kami mempunyai pengendalian yang cukup baik mengenainya juga. Apabila ia berkaitan dengan tema dan pemalam, mungkin lebih mudah untuk mencari pepijat dan kelemahan, dan mungkin mengambil lebih banyak masa untuk membetulkannya, tetapi komuniti mendapat sokongan daripada pembangun.
Namun, tiada yang 100% selamat. Kita hidup dalam zaman di mana saintis berada di ambang memecahkan kod pada otak kita! Tidak ada yang tidak dapat difahami, jelas termasuk otak kita , dan WordPress tidak terkecuali. Tetapi hanya kerana 100% keselamatan adalah mustahil, tidak bermakna kita tidak perlu berusaha untuk 99.999% keselamatan.
Berdasarkan pengalaman peribadi dan penyelidikan lanjut, saya telah menyusun beberapa langkah keselamatan yang perlu anda ambil jika anda belum melakukannya. Tanpa berlengah lagi, mari kenali mereka sekarang!
.htaccess
.htaccess 文件
让我们从简单的开始。
如果您的 WordPress 网站托管在由 Apache 提供支持的网络服务器中,并且您在设置中启用了“漂亮的永久链接”,WordPress 将生成一个名为 .htaccess 的文件来存储基本信息WordPress 永久链接说明。如果您不启用漂亮的永久链接,核心将不会生成 .htaccess 文件,但我将要展示的提示仍然适用 - 您只需要自己创建该文件。
Nano-tip:如果您要自己创建 .htaccess 文件,但很难创建一个没有任何名称但带有 .htaccess 扩展名的文件,只需上传一个空文件即可使用任何名称(例如 Untitled.txt)并在 FTP 客户端中更改名称和扩展名。
我首先想到的是保护 htaccess 文件。这是我将向您展示的提示和技巧中最容易做的事情。您所要做的就是将以下行添加到文件中:
# protect .htaccess <Files .htaccess> order allow,deny deny from all </Files>
这是一个无害的技巧,可以保护 htaccess 文件免受任何想要访问它的人(或任何)的访问。
接下来,让我们禁用显示文件夹的内容:
# disable directory browsing Options All -Indexes
这将防止陌生人在想要访问时看到您文件夹的内容,例如,myblog.com/wp-content/uploads/。通常,他们能够查看上传的文件或浏览 /uploads/ 目录中的子文件夹,但通过这个小技巧,他们将看到来自服务器的 403 Forbidden 响应。
最后,我想参考 Perishable Press 提供的一份很棒的“黑名单”:5G 黑名单。此黑名单可以保护您的网站免受多种恶意活动的侵害,从有害的查询字符串到不良的用户代理。
这就是 htaccess 技巧。现在,让我们继续学习 wp-config.php Mari kita mulakan dengan mudah.
.htaccess fail untuk menyimpan maklumat asas tentang arahan pautan kekal WordPress. Jika anda tidak mendayakan pautan kekal yang cantik, teras tidak akan menjana fail .htaccess, tetapi petua yang saya akan tunjukkan masih terpakai - anda hanya perlu mencipta fail itu sendiri. #🎜🎜#
#🎜🎜#Nano-tip: Jika anda ingin mencipta fail .htaccess sendiri dan sukar untuk mencipta fail tanpa sebarang nama tetapi dengan sambungan .htaccess, Hanya muat naik fail kosong dengan sebarang nama (cth Untitled.txt) dan tukar nama dan sambungan dalam klien FTP. #🎜🎜#
#🎜🎜#Fikiran pertama saya adalah untuk melindungi fail htaccess. Ini adalah perkara paling mudah untuk dilakukan daripada petua dan helah yang saya akan tunjukkan kepada anda. Apa yang anda perlu lakukan ialah menambah baris berikut pada fail: #🎜🎜#
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
htaccess anda daripada sesiapa sahaja yang ingin mengaksesnya (atau #🎜🎜#apa-apa sahaja #🎜🎜#). #🎜🎜#
#🎜🎜#Seterusnya, mari lumpuhkan paparan kandungan folder: #🎜🎜#
define( 'DISALLOW_FILE_EDIT', true );
myblog.com/wp-content/uploads/. Biasanya, mereka akan dapat melihat fail yang dimuat naik atau menyemak imbas subfolder dalam direktori /uploads/, tetapi dengan helah kecil ini, mereka akan melihat respons 403 Forbidden daripada pelayan . #🎜🎜#
#🎜🎜#Akhirnya, saya ingin merujuk kepada "senarai hitam" hebat yang disediakan oleh Perishable Press: Senarai Hitam 5G. Senarai hitam ini melindungi tapak anda daripada pelbagai aktiviti berniat jahat, daripada rentetan pertanyaan berbahaya kepada ejen pengguna yang buruk. #🎜🎜##🎜🎜##🎜🎜#
#🎜🎜#Ini ialah helah htaccess. Sekarang, mari kita beralih kepada helah wp-config.php. #🎜🎜#
wp-config.php 文件及其内容的安全技巧就安全性而言,wp-config.php 文件可能是整个 WordPress 安装中最重要的文件。您可以用它做很多事情来强化您的网站。
让我们从一个有趣的技巧开始:您是否知道可以将 wp-config.php 文件放在 WordPress 根目录中的上一级?如果它不会让您感到困惑,请立即执行。大多数时候,我将 WordPress 安装在 public_html 目录中,并且喜欢将 wp-config.php 文件放在用户根目录中。不确定这是否是万金油配方,但至少它感觉更安全。 Stack Exchange 的一些人就这个话题进行了很好的辩论。
顺便说一下,让我们回到根 .htacccess 文件并添加以下行以拒绝访问 wp-config.php 文件:
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
这是一个有趣的想法:删除编辑主题和插件文件的权限怎么样?所需要做的就是将以下行添加到 wp-config.php 文件中:
define( 'DISALLOW_FILE_EDIT', true );
感觉更加偏执?将以下行粘贴到上面一行下方以完全禁用主题和插件安装和删除:
define( 'DISALLOW_FILE_MODS', true );
关于强化 WordPress 的另外两个技巧:更改数据库前缀,并在 wp-config.php 文件中添加安全密钥(或 salt 密钥)。
第一个很简单:通过查找以下行来检查是否将数据库前缀设置为默认值:
$table_prefix = 'wp_';
如果它设置为 wp_,您应该将其更改为除此默认值之外的其他值。您无需记住它,因此可以输入任何内容。我喜欢使用 wp_fd884vg_ 这样的组合来保证它的安全性和可读性。
更改安全密钥也非常容易。通过找到以下行来查看键是否为空:
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
如果他们都说'把你独特的短语放在这里',这意味着他们还没有设置。在这种情况下,只需转到此 URL(也在代码注释中引用)并使用上面的行更改该页面中生成的行。
Nano-tip:如果您想知道这些“盐密钥”是什么,WPBeginner 有一篇很棒的文章介绍了这种安全措施的好处。
wp-config.php 技巧就到此为止!今天就到此为止吧。
我希望您今天喜欢这些 .htaccess 和 wp-config.php 技巧。在这个迷你系列的下一部分中,我们将介绍一些安全插件和其他有关强化 WordPress 的重要技巧。如果您有任何问题或意见,请随时在下面的评论部分中提出。
下一部分见!
Atas ialah kandungan terperinci Memperkukuh Keselamatan WordPress, Bahagian 1. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
