由于WordPress目前的用户量较大,当然也就会被很多针对被黑的目标。于是,提高WordPress的安全性还是很重要的,对于WordPress网站的安全性,需要从服务器主机的安全,再到网站自身主题和插件以及代码的安全。在这篇文字中,麦子整理几个通过WordPress代码来提高安全性的性能。
尤其在我们用虚拟主机的时候,较多的用的是 Apache 引擎,这里设置主机和网站安全的是在用.Htaccess的文件,这里我们通过改善.Htaccess的安全性来提高网站的安全。
1、Apache伪静态
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
一般我们会用伪静态的,在WP后台设置固定链接后,还需要在根目录的.htaccess设置伪静态文件。
2、设置wp-config.php权限
<files wp-config.php> order allow,deny deny from all </files>
很多时候,wp-config.php文件的安全性是很重要的,我们需要设置这个文件的绝对权限。
3、WP-CONTENT权限设置
网站的主题和插件文件都在这个目录中,但是我们允许用户访问的是图片和CSS之类,这里我们其他都做权限设置。
Order deny,allow Deny from all <Files ~ ".(xml|css|jpe?g|png|gif|js)$"> Allow from all </Files>
4、限制管理员IP
如果我们要确保管理员的登录安全,可以设置 wp-admin只能是我们的IP登录。这里要确定我们的IP是完全固定的。
<Limit GET POST PUT> order deny,allow deny from all allow from 11.11.11.11 </Limit>
可以在wp-admin中放置.htaccess文件设置这个目录的IP权限,将IP改成我们自己的。
5、限制陌生IP
<Limit GET POST> order allow,deny deny from 11.11.11.11 deny from 22.22.22.22 allow from all </Limit>
如果有可疑的IP我们可以通过这个脚本来限制访问。
6、禁止图片被引用防盗链
我们是不是会有发现自己网站的图片被人引用的,这样会降低我们的网站速度和性能。我们直接禁止被引用。
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?zhujipingjia.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ https://默认随机图片 [NC,R,L]
可以将网站改成我们自己的网址,然后将默认引用的图片给他跳转一个固定的广告图片。
这几个脚本通过.HTACCESS可以解决一些安全问题和提高网站性能。
评论