我的WordPress網站安全嗎—提升WordPress網站安全性的方法
在眾多強大網站架設的框架中,其中對於完全不懂程式設計的業主而言,WordPress肯定是個好選擇,它強調了5分鐘快速架站,無須任何程式概念,而這麼快速的開發,所需要的更是日後維護安全的細膩心,以下我們將一一帶領各位實現WordPress「基本的」安全設定!
※以下將預設為各位會架設簡單的WordPress網站之情況(例:清楚如何編輯文字檔,FTP使用等等)
1.架設網站前,在編輯wp-config.php這支檔案時,把該填的填一填,另外填入金鑰(取得金鑰),再將前綴字wp_,自行更改成較複雜的前綴字,這樣的作法將提升我們資料庫的安全性,不使用預設的前綴字,預防別人輕易取得我們的資料。
2.將readme.html刪除,使用文字編輯器將
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
這三行貼到目前主題的functions.php(如:/wp-content/themes/twentyseventeen/functions.php)。
Readme.html 這支檔案會將我們WordPress的版本號秀出來,別人若得知後,就可以更輕易地針對版本上的弱點去攻擊,盡可能地去隱藏我們使用了哪些工具與版本號。以上三行程式碼是將產生版本號及離線編輯器的metadata去除,後者是我們大部分時間不會用到的東西,留著也會有安全性上的疑慮,順便一起關閉,安裝完之後,創建新的admin帳號,並將原先用來登入的admin帳號刪除,這和第一點的概念相同,不使用預設的東西,不讓我們的網站這麼好讓人猜測。
3.在根目錄下.htaccess中加入
Options -Indexes
<Files .htaccess>
order allow,deny
deny from all
</Files>
<files wp-config.php>
order allow,deny
deny from all
</files>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourwebsite.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://i.imgur.com/g7ptdBB.png [NC,R,L]
預防別人從瀏覽器上直接看到我們的目錄結構,以及保護我們的.htaccess & wp-config.php & wp-includes目錄中重要資訊不被他人存取,將yourwebsite.com改成我們網站的網域名稱,這可以避免他人取用我們的圖片連結給別的網站使用而增加我們網站的流量
4.在wp-content目錄中建立.htaccess 並貼上
Order deny,allow Deny from all <Files ~ ".(xml|css|jpe?g|png|gif|js)$"> Allow from all </Files>
只允許上傳xml、css、jpg、jpeg、png、gif、javascript等類型檔案,這樣駭客就無法上傳像是郵件程式到我們的網站上,利用我們的資源發送垃圾信件。
5.隱藏後台登入路徑
預設的路徑是login或wp-admin就會導到登入頁面,如果沒有改掉,駭客就很容易暴力破解我們的網站了,這邊我們選用安裝套件WP Cerber Security,裝好之後點進選單WP Cerber->Main Settings,接下來打開
禁止導回登入頁面
這邊更改掉我們登入的網址,改得越複雜,駭客就越不想花時間去猜,以及如果在網址列輸入wp-login將會被導向404錯誤代碼,這個套件還有許多針對安全性更深入的設定以及監控,這邊就不再多講述。
6.更改檔案權限
我們可以透過FTP軟體直接對我們的檔案做權限上的設定,wp-config.php這支特別重要的檔案建議設定成640,不讓別人讀取甚至寫入,其他檔案夾設定為755,文件則設成664,上述這些設定都是一般,建議的,而實際上還是要看需求去設定這些權限。
以上就是這次提升WordPress安全性的幾個方法,如果都設定完了,我們的WordPress網站就有了一定的防禦工事,能夠大大降低駭客入侵我們網站的慾望,往後我們將繼續對於安全性設定有更深的探討!
看更多電商架站相關內容,歡迎訂閱歐斯瑞電子報,以及追蹤我們的Facebook粉絲專頁喔!
延伸閱讀:
我要留言