2013年2月27日 | | 标签:

本站前段时间写过一篇有关WordPress安全性的文章:WordPress安全教程 ☞ 防注入、关闭后台文件编辑等方法 里边详细介绍过多种常规的提升WordPress安全性的技巧,今天我们再来补充一些你可能没注意到的一些实用小技巧,方法很简单,但是确实能够提升你WordPress站点的安全性,让无聊的黑客变得更无聊吧,嘿嘿。

保护好你的wp-config.php文件

wp-config.php文件是WordPress的数据库等信息的配置文件,默认放置在网站根目录底下,如果不做任何保护的情况下,这个文件是可以通过浏览器直接访问到的,尽管只是显示一个空白页面,但仍然存在一个很大的安全隐患,一旦黑客通过各种手段获取了该文件的信息以后,网站将直接暴露在了公众面前。

针对wp-config.php的保护可以有以下几种方式:

移动wp-config.php文件到根目录的上一层目录

可能很多人都不知道WordPress的配置文件是可以移动到根目录的上一层目录的,假设当前网站所在目录为 home/web/domain_com/public_html 默认wp-config.php是位于public_html文件夹里边,我们可以将其移动到上一层,也就是 home/web/domain_com/ 目录里边,这样以后该文件就彻底不可以通过浏览器访问到了。

设置该文件仅仅你可读取

设置文件属性为仅仅你自己可以读取,也就是设置文件属性为 400 或者 440。

通过.htaccess设置对该文件的保护

如果你网站服务器用的是apache,那么也可以通过设置.htaccess来对该文件进行保护,加入如下代码即可:

<files wp-config.php>
order allow,deny
deny from all
</files>

记得把该段代码放置在文件最顶端。

删除未启用的plugin和theme

很多人容易忽略这点,用WordPress建站初期为了调试各种功能会安装各种不同的插件,发觉某个插件不好,或者有冲突的时候,然后就把该插件卸载,卸载以后很多人都会忘记把他彻底从后台删除掉,虽然未开启该插件感觉没什么关系,但是留一个用不上的插件文件夹放在plugin目录里边就是留下了一个安全隐患,对于模版文件也一样,没用到的模版文件请即时删除掉。

未完待续…………