無論你的網站規模是大還是小,丟失站點數據,或是無法管理你自己的站點,都會讓你神經緊繃。WordPress驅動著全世界25%的web,對于黑客來說,wordpress網站是他們最重要的目標之一。
?
在這篇文章中,我們將會討論一些加強WordPress安全性的小tip。
?
1. Bcrypt密碼散列
WordPress成立于2003年,那時php和Web還剛剛起步。那時候Facebook還沒有出現,PHP還沒有OOP架構;因此,今天WordPress的安全性已經稍顯過時,例如其密碼加密的方式。
?
如今WordPress還在使用MD5散列。基本上說,它只是把123456變成這樣:e10adc3949ba59abbe56e057f20f883e。
?
然而,如今的計算機比10年前要復雜精密的多,因此這樣的密碼可以被輕易攻破。
?
自從5.5版本之后,PHP有了本地的加密方式,如果你的WordPress網站,所使用的PHP版本高于5.5,你可以使用這個功能。
?
你可以安裝composer或是MU-Plugins插件,重新保存你的密碼。
?
2. 啟用WordPress.com防護
Brute-force是黑客最常用的密碼破解方式。因此,你需要設定一些非常難猜的密碼。
?
WordPress.com的母公司Automattic收購了一個非常流行的防brute-force插件。這個插件的名字叫BruteProtect,它如今已經被整合到Jetpeck里面了。
?
事實證明,這個插件的防護效率非常好。
首先,你需要安裝最新版本的Jetpack,然后將你的網站連接至WordPress.com。之后打開防護模塊,將你自己的IP添加到白名單中。
之后,你的網站就更加安全了。
3. 隱藏登錄URL
誰都知道,要想登錄WordPress后臺,你只需要在域名后面加上wp-login.php,不僅你知道,黑客也知道。因此,你需要隱藏你的登錄URL,讓這個URL只對你開放。
?
幸運的是,你可以通過一些簡單的插件來實現這個目的:
1) iThemes Security
2) wps Hide Login
4. 關閉“忘記密碼”
“忘記密碼”功能能讓你通過其他方式找回你的密碼,但是黑客們也可以通過這個方式來獲取你的密碼。因此,你最好關閉這個功能。
我們需要創建一個新的文件并且上傳,將其命名為forget-password.php。
?
首先,我們要更改丟失密碼的URL:
function?lostpassword_url()?{ return?site_url(?'wp-login.php'?); } add_filter(?'lostpassword_url','lostpassword_url'?);
移除鏈接。但是,WordPress本身并不支持這個操作,因此我們需要使用JavaScript。
function?lostpassword_elem(?$page?)?{??> <script> (function(){ var links = document.querySelectorAll( 'a' ); for (var i = links.length - 1; i >= 0; i--) { if ( links[i].innerText === "Lost your password?" ) { links[i].parentNode.removeChild( links[i] ); } }; }()); </script><?php } add_action( 'login_footer', 'lostpassword_elem' );
最后,將“丟失密碼”的URL重定向到登錄頁。
function?lostpassword_redirect()?{ if?(?isset(?$_GET[?'action'?]?)?){ if?(?in_array(?$_GET[?'action'?],?array(?'lostpassword',?'retrievepassword'?)?)?)?{ wp_redirect(?'/wp-login.php',?301?); exit; } } } add_action(?'init','lostpassword_redirect'?);
?
5. 啟用https
HTTPS為你的站點提供了多一層的防護,而且還能提升你在搜索引擎中的排名。現在你可以通過 Let’s Encrypt這個項目免費獲得HTTPS證書。
?
對于WordPress網站來說,你可以使用WP Encrypt輕松使用這個證書。我建議你現在就去是用HTTPS。
更多wordpress相關技術文章,請訪問wordpress教程欄目進行學習!
