蜗牛789
蜗牛看到年付WordPress官方的报道全球有超过30%的网站均使用的WordPress程序。实际上我们也看到目前主流的博客CMS程序(当前主流免费开源个人博客系统优缺点评估及选择看法)中确实文档最多、主题和插件最多,基本上我们使用来做个人博客、个人网站都会选择WP程序。主要也得益于官方提供持续的升级更新、包括安全性上也是在不断的优化。
今天上午蜗牛看到群里有一个网友因为一直没有升级WordPress至最新版本,或者也可能是因为BT面板没有升级的问题,导致服务器故障,以及网站根目录出现很多的文件。所以,我们在使用WordPress的时候,程序的安全性也是非常重要的。在这里我整理出来最新的提高WordPress安全性的11个做法。
第一、保持最新版本
除非我们有特别版本的要求,蜗牛都建议只要WP官方出现新版本,我们都需要更新到最新版本。尤其是有提示到安全版本必须升级的时候,一定要及时的更新和升级。
第二、使用强密码保护
我们以前有用过较早版本的WP程序的朋友应该清楚,当初默认的用户名是admin,密码都是自己设置的。而如今的新版本用户都是自己定义,且要用自己独特的用户名。同时,我们密码也可以使用系统自带提示推荐的强密码,不要设置简单密码。
第三、使用安全插件保护
我们可以选择一些可用的WP安全插件,或者二次密码保护插件来提高账户的安全性。但是最为主要的是插件一定要使用官方推荐的正版,且插件也需要及时的更新升级最新版本。
第四、服务器防火墙设置
如果有必要的话,或者有条件,可以需要设置服务器的安全,包括WAF、CDN,包括端口的放行等需要设置的,确保服务器和网站的进一步安全。
第五、一定的限制措施
比如我们在登录管理员的时候可以在网站插件设置限制IP地址或者用户登录。包括我们有些服务器面板也有提供设置必须某个特定IP地址的用户才可以访问登录。这个要取决于我们的网站登录管理员的时候使用的是固定的IP地址,如果你的IP老是变动那就麻烦。
第六、安全的插件和主题
网站确实有我们喜欢的主题和插件,当然有些是破解版的。付费版本又比较贵,咋办呢?安全起见建议我们要么购买正版,要么就用免费安全版本其他产品替换。不要使用破解版的主题和插件。
第七、定期备份数据
如果备份网站还是相对容易的,比如服务器面板或者服务器都有提供快照定期备份。我们也可以使用脚本、面板工具自带的备份到第三方对象存储平台。数据是很重要的。
第八、不要使用默认的用户名
如今我们已经不存在这个问题,以前默认自带的设置用户名是admin,我们如今可以直接不创建的。如果还是有的话,我们要禁止这个用户或者设置权限。
第九、登录后台的设置
我们可以设置单独的登录WordPress后台登录入口。如果管理员不是登录我们设置的登录URL地址,那是无法登录访问的。这个我们可以搜索下相关的代码。有些时候我们有主题是自带的,比如蜗牛有在用的知更鸟主题也是有自带的。
第十、设置文件读写权限
我们在服务器使用用户的时候,WP程序有些目录是需要设置读写权限的。有些人全部设置777权限是错误的,我们需要755或者644权限一般文件是755,文件夹是644权限。
第十一、登录提醒功能
这个蜗牛看到有些朋友在登录网站和服务器的时候有网友设置邮件提醒功能,甚至有加入短信提醒。这个稍微需要点技术,一般站长也没有必要加上。
以上是随手整理的且参考一些文章的做法,我们可以用到自己的WordPress网站中确保账户和网站的安全,最为主要的定期备份和更新程序版本是最重要的。
