如何提高WordPress网站安全性

  • 酉灿
  • WordPress
  • Jul 27, 2021

由于之前被黑客攻击过一次,所以在网站即将上线之际,得好好研究研究如何提高WordPress网站的安全性,于是便总结了一下几点:

WordPress后台登录名泄露问题
熟悉WordPress的应该都知道如果想要查询WordPress网站的后台登录名,只需要网址栏中输入“域名/?author=n”(n=1、2、3、4…)就可以快速找到WordPress网站的登录名。假如优推网用的是默认后台登录名admin,那么只需要输入“https://www.seouv.com/?author=1”点击回车即可查到我的登录名是xuxiaoke。如图

如果后来又添加了新的登录名,那么也可以输入“https://www.seouv.com/?author=2”进行查询,以此类推。

隐藏用户名

这个也同样道理,直接将“作者文章列表(?author=1)”跳转到指定的页面,这样就可以做到隐藏用户名的目的。同样在所用主题的functions.php文件内添加以下代码:

function my_author_link() {
    return home_url( '/' );
}
add_filter( 'author_link', 'my_author_link' );

其中home_url( ‘/’ )是跳转到网站首页,这里也可以设置为指定的页面,比如about页面,可以为home_url( ‘about’ )。

隐藏WordPress的版本号
这也是非常重要的一环,使用WordPress的站长都应该有这个意识,以免不良用心的人利用旧版本的漏洞对网站进行攻击。而隐藏WordPress的版本号只需在functions.php文件的?>前面添加以下代码:

function wpbeginner_remove_version() {
    return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');

修改主题名称
建议站长在上传程序前把主题的名称改一下,避免某些熟悉这个主题漏洞的人对网站进行攻击。

避免使用不明来源的主题和插件
只去WordPress官方站点或者某些大型可靠站点下载免费主题或插件,避免下载的主题或插件被别人挂马导致安全性很低。

及时删除install.php和install_helper.php文件

当然最最重要的一点及时备份
俗话说的好,有备无患。这里主要给备份的原则:WordPress程序修改了就备份,不修改不用备份;数据库可以根据的频率备份,每周备份一次是一个不错的选择,当然如果数据量特别大,每周备份一次都可以。

打赏