WordPress安全提醒 | 我@Soho网赚博客
当前位置:我@soho网赚博客 > 博客优化

上午有网友提醒说我@soho网赚博客被人下了木马,打开首页源代码,很快就找到底部被人加上了一段JS代码,杀毒也很简单,到FTP的安装根目录下找到index.php文件,删除加在后面的js代码。筛查了一遍其他目录,发现都没有被改动过。

同其他程序相比,WordPress的漏洞还是比较少的,升级频繁,总的来说还是属于比较安全的,不过晚上还是对我@soho网赚博客的各种设置做了检查,记录下来,作为给朋友们的安全提醒。

1、升级

任何程序都是在发现漏洞和补上漏洞的进程中不断进步的,晚上大致搜索了一下,暂时也没有看到有关WordPress2.71的漏洞爆出,而且2.8 beta2似乎并不稳定,虽然每次进后台都看到升级提醒,但我还是没有选择升级到2.8。

WordPress安全提醒

同时WordPress的各种插件也需要升级,这是多数朋友所忽略的。减少插件安装数量其实也是少一个安全漏洞。

2、WP Security Scan

WP Security Scan这个插件主要从以下几个方面检测博客的安全性:

1)数据库的表前缀

修改默认的WordPress数据表前缀能增加数据库的安全性。

2)隐藏版本号

以前用dedecms的时候,装完系统后的第一件事就是删除模板底部的版本号,实际上很多黑客没有技术能力去研究漏洞,通常他们是在听说某版本的漏洞后,通过搜索版本号来锁定攻击目标。

WordPress为每个页面都添加了一个meta标签标注版本号,比如我@soho网赚博客的版本号<meta name=”generator” content=”WordPress 2.71″ />,

WordPress的版本号不能通过模板直接修改,可以借助类似WP Security Scan这样的插件来修改。

当然也可以在当前主题的function.php文件中加上<?php remove_action ‘wp_head’, ‘wp_generator’); ?>,这样也可以去除版本信息。

3)密码安全系数和admin帐户

安装后,系统默认的admin帐号具有管理员权限,新建其他用户然后删除这个默认的admin。而且在WordPress中登录用户名和显示的作者姓名可以不一样,因此也可以帮助我们隐藏管理员帐号。登录密码提倡大家经常改,字母数字混合,最好搭配使用大小写。

4)扫描FTP文件权限

文件和文件夹的属性CHMOLD是制定不同用户组的使用权限:读取、写入和执行,从安全角度来说,最好尽可能地封闭文件的访问权限,在需要写入文件时再解除访问限制,或者为上传图片等任务新建一个专用的、权限较为宽松的文件夹。但这么多文件和文件夹我可记不住哪个该777,哪个又该666,具体工作还是交给WP Security Scan吧。

3、隐藏文件夹

通过robots.txt避免搜素引擎抓取非内容的文件夹,我做的比较彻底,直接在robots.txt里加上了Disallow: /wp-,禁止抓取wp-admin在内的所有文件夹。

4、备份

宁可百日不用,不可一时不备,多用WP-DB-Backup备份吧,备份完了还能自动下载。如果不嫌麻烦也可以和我以前一样,手工到phpmyadmin里备份。

» 转载请注明来自我@soho网赚博客 > WordPress安全提醒

» 文章地址:http://www.wosoho.com/wordpress-security-notice/

» 免费订阅我@soho获取最新网赚技巧和博客赚钱方法

4条评论

  1. 模板不错,顶下。。

发表评论 »