网站安全,是许多WordPress新手容易忽略的一个重要问题。如何确保WordPress网站安全,也是许多刚刚接触WordPress的用户面临的一个难题。WordPress中文网本系列教程教你介绍一系列的步骤,来保护你WordPress网站的安全。这一些列步骤共分32步,今天介绍第23~27步。
如果黑客通过某种手段侵入了你的网站,那么他要做的第一件事可能就是在某个文件夹内执行PHP代码。但是,如果禁止掉这个功能,那么就算你的网站被入侵,也能保护你的网站不会产生严重的后果。
这是保护WordPress安全一个重要步骤,可能会影响某些插件和主题的运行。但是,你至少应该限制最可能出现问题的两个目录 wp-includes 和 uploads 。
你可以把以下代码放到 .htaccess 文件中,然后把文件放在WordPress文件的根目录,或者你想要限制的目录(比如上面我们说的 wp-includes 和 uploads 目录):
<files *.php> order allow,deny deny from all </files></pre> <pre>
如果你在同一个服务器上有多个网站,你可能会喜欢所有的网站共用同一个数据库。
这样会影响WordPress网站的安全。如果其中一个网站被黑,其他使用同一个数据库的WordPress网站也就有可能被黑掉。
在你设置WordPress安装的时候,第一件事就是应该穿件一个新的数据库。给数据库设置一个单独的名称、单独的数据库用户名和单独的密码,这些都应该和其他网站的数据库信息不一样。
这样,即使你的其中一个网站被黑,也不会通过数据库入侵到你同一个服务器上的其他网站。
当你第一次设置WordPress网站的时候,由于缺少信息,你可能会由于权限设置不当而给数据库带来隐患。
通常来说,数据库用户需要以下权限:对于绝大多数的WordPress网站日常操作来说,只需要读取和写入数据库的权限:SELECT(选择), INSERT(插入), UPDATE(更新), 以及DELETE(删除)。
你可以移除以下这些权限:DROP(删除数据库或数据表), ALTER(更改数据表)和GRANT(赋予数据库或数据表权限)。
注意:有些WordPress主版本的升级可能需要这些权限(比如要修改某个数据表),但是绝大部分日常工作并不需要这些权限。你可以在需要的时候,临时更改设置。
当你刚开始建站的时候,你可能会经常要调整主题、修改插件,因此需要对这些文件进行编辑。除此之外,一般情况下WordPress的管理员都没有必要去编辑PHP文件。
因此,当你的网站开发工作完成之后,一旦正式运行,你就没有必要去编辑这些文件了。
同时,允许管理员编辑这些文件,还存在安全上的漏洞。因为一般黑客破解登录到你的网站,那他们就可以马上修改你的php文件,在文件中随意植入他们想要的放置的木马病毒等恶意代码。
要想禁止管理员编辑这些php文件,你只要将以下代码放入到你的wp-config.php文件就可以了:
define('DISALLOW_FILE_EDIT', true);
如果把WordPress的文件比作一个人的身体,那么 wp-config.php 文件就是人的心脏。
我们这里不再对 wp-config.php 文件的重要性做过多的解释,以后我们将专门撰文介绍。我们只要记住这个事实,wp-config.php文件存储了许多重要的信息,包括WordPress网站的数据库名称、用户名、密码、身份验证密钥、以及其他一些重要的设置。因此,这个文件可以说是非常重要。简单地说,其他任何人都应禁止接触该文件。
我们强烈建议加强对WordPress核心配置文件 wp-config.php 的保护。对于是否要转移该文件的位置来提升 wp-config.php文件的安全性,网上有一些争议;但大家都同意应该保护wp-config.php文件的安全。
如果你没有设置上面第23步中介绍的安全举措(禁止执行PHP代码),那么你可以在.htaccess文件中添加以下代码:
<files wp-config.php> order allow,deny deny from all </files>
当然,如果你已经严格执行了第23步,那么也就不需要再进行这一步骤了。
(未完,待续…)