12个经典的WordPress安全技巧.docxVIP

12个经典的WordPress安全技巧由 Ven 于 星期三, 2009/07/15 - 11:43 发表 WordPress是一个功能强大的内容发布平台，但它始终无法完全避免黑客、垃圾信息等恶意攻击对WordPress文件的威胁。WordPress的开源性决定了WordPress遭到恶意攻击的可能性较大，黑客们能够轻易获取该项目的源代码并寻找安全漏洞。 幸好我们还可以通过各种方式来为自己的WordPress网站添加安全防护层。 本文向大家介绍了一些用来保护WordPress网站的小技巧和修改方法，避免网站遭到恶意攻击。1. 定期备份MySQL数据库备份网站资料和数据库非常重要。 我们可以定期以.sql文件格式导出MySQL数据，进行备份，把导出的文件保存到安全的地方。推荐每天备份一次数据库。即使我们不常更新网站，但也可能随时收到用户评论和引用通告。 但手动备份实在有些无聊，而且有时我们还可能忘记备份， 这时就可以利用插件进行自动备份了。这里介绍一款 WordPress Database Backup自动备份插件， 用户可以选择 WordPress Database Backup提供的备份周期（包括每小时、每天、每星期、每月等周期）进行资料备份。 备份过后即使数据库被破坏，我们也可以用备份资料来还原数据库。 目前市面上有很多数据库自动备份工具，我们要根据自己的需求选择合适的工具。2. 为wp-admin文件添加多重保护wp-admin文件是WordPress中非常重要的文件，所有关于管理页面的文件都存放在wp-admin文件中。 如果wp-admin文件安全受到威胁，后果会很严重，不仅WordPress安装文件会被破坏，域名上的其它信息也会受到影响。我们可以用几种方法来锁定wp-admin文件，以免wp-admin文件遭到攻击。 其中一个方法是通过.htaccess文件（供Apache网络服务器）限制可以访问wp-admin的IP地址，降低遭到攻击的风险。 使用其它类型web服务器（比如IIS，IIS配有一个即开即用的GUI）的用户也需要为wp-admin文件设置相同的访问权限。首先要在我们常用的文本编辑器或源代码编辑器中新建一个空白文件（Windows Notepad这样简单的文本编辑器同样奏效）。 以.htaccess为扩展名保存新建文件。 我们可以在.htaccess文件中放入以下代码：order deny, allowallow from 123.456.78 #Your IP Addressdeny from all然后把文件保存到wp-admin文件夹中。这种方法相对简单，的确也加强了wp-admin文件的安全性，但如果我们在不同地方操作（于是IP地址也会不同），这种方法就不太方便了。我们还可以用AskApachePasswordProtect插件来保护WordPress的管理文件。 这款插件能够提供多种安全防护措施，比如访问任何管理页面都需要用户名和密码， 自动编写.htaccess文件（对不熟悉Apache服务器访问权限的用户来说，这的确非常有用）等。查看Apache上关于使用身份验证、许可验证以及访问权限的文件，了解如何锁定各种文件。3. 不要公开所用的WordPress版本号很多WordPress开发人员会在源代码里显示当前WordPress版本。 恶意攻击者可以根据公布的版本号对已知的安全漏洞发起攻击。 因此我们最好从源代码中删除WordPress版本信息。 首先在主题的header.php文件中查找关于类似以下代码段的代码，找到后将代码删除：meta name=generator content=WordPress ?php bloginfo(version); ? /!-– leave this for stats please --如果我们找不到类似的代码，并且仍然在查看网站源码的meta生成器标签，可以试着在head标签中查找一个PHP函数调用：?php wp_head(); ?将这个函数的输出结果进行硬编码，因为输出结果不会再改变，我们可以把输出结果存入主题文件。 默认情况下，这个函数会在HTML源代码中输出以下代码：link rel=EditURI type=application/rsd+xml title=RSD??? href=/xmlrpc.php?rsd /link rel=wlwmanifest type=application/wlwmanifest+xml??? href=/wp-includes/wlwmanifest.xml /meta name=generator content=WordPress #versionnumber /只要对前面两行代码进行硬编码（如果必要的