保护 WordPress 安装实例的安全
若要检查并保证 WordPress 安装实例的安全:
- 进入 WordPress。
- 进行以下任一操作:
- 若要检查所有 WordPress 安装实例的安全性,请点击 检查安全性。
- 若要保证单个 WordPress 安装实例的安全,请点击所需 WordPress 安装实例名称旁边的 S 列。
- 若要保证两个或多个 WordPress 安装实例的安全,请选择 WordPress 安装实例对应的复选框,并点击 检查安全性。
- 请选择您想要应用安全提升所对应的复选框,然后点击 安全。
警示: 请记住不是所有的安全提升都能回滚。建议在保证 WordPress 安装实例的安全之前备份相应的订阅。
WordPress 的所有安全提升
-
wp-content 文件夹。
wp-content
目录可能包含不安全的 PHP 文件,这些文件可用于破坏您的网站。安装了 WordPress 之后,可从wp-content
目录执行 PHP 文件。安全检查会验证是否已禁止执行wp-content
目录中的 PHP 文件。请注意,在.htaccess
或web.config
文件中的自定义指令可能会覆盖此安全措施。还要注意,在保护 wp-content 文件夹后,您的一些插件可能会停止工作。 -
wp-includes 文件夹。
wp-includes
目录可能包含不安全的 PHP 文件,这些文件可用于破坏您的网站。安装了 WordPress 之后,可从wp-includes
目录执行 PHP 文件。安全检查会验证是否已禁止执行wp-includes
目录中的 PHP 文件。请注意,在.htaccess
或web.config
文件中的自定义指令可能会覆盖此安全措施。还要注意,在保护 wp-includes 文件夹后,您的一些插件可能会停止工作。 -
配置文件。
wp-config.php
文件包含数据库的验证凭据和其它的敏感信息。安装了 WordPress 之后,可执行wp-config.php
文件。如果,由于某些原因,web 服务器在处理 PHP 文件的过程中关闭,黑客便可以访问wp-config.php
文件的内容。安全检查会验证是否已阻止未经授权访问wp-config.php
文件。请注意,在.htaccess
或web.config
文件中的自定义指令可能会覆盖此安全措施。 - 目录浏览权限。如果目录浏览打开,黑客可以获得有关您网站的信息(使用的插件等)。在 Plesk 中目录浏览默认为已关闭。安全检查会验证是否已关闭 WordPress 安装实例上的目录浏览。
-
数据库前缀
。在所有 WordPress 安装实例中 WordPress 数据库表具有相同名称。当数据库表名称的标准前缀wp_
被使用时,整个 WordPress 数据库结构就无法保密,任何人都可以从中获取任何数据。安全检查会更改数据库表格名称前缀为除了wp_
之外的其它前缀。维护模式会打开,所有插件会停用,在配置文件中更改前缀,在数据库中更改前缀,插件会重新激活,永久链接结构会刷新,然后维护模式会关闭。 -
安全密钥
。WordPress 使用安全密钥(AUTH_KEY
、SECURE_AUTH_KEY
、LOGGED_IN_KEY
和NONCE_KEY
)以保证更好地加密存储在用户 cookie 中的信息。一个好的安全密钥应该很长(60 个字符或更长),随机且足够复杂。安全检查会核实安全密钥已设置并且至少包含字母和数字字符。 -
文件和目录权限
。如果文件和目录的权限不符合安全策略,这些文件便可用于攻击您的网站。安装了 WordPress 之后,文件和目录可以有不同的权限。安全检查会核实wp-config.php
文件的权限设置为600
,其它文件的权限为644
,且目录的权限为755
。 -
管理员的用户名
。安装了 WordPress 副本后,默认会有一个拥有管理员权限且用户名为admin
的用户。由于在 WordPress 中用户的用户名无法更改,作为管理员只需猜测密码以访问系统。安全检查会核实不存在任何拥有管理员权限且用户名为admin
的用户。 -
版本信息
。每个 WordPress 版本都存在已知的安全漏洞。因此,显示 WordPress 安装实例的版本会使黑客更容易将它做为目标。可在页面的元数据和readme.html
文件中看到未受保护的 WordPress 安装实例版本。安全检查会核实所有readme.html
文件是空的,并且每个主题都有一个functions.php
文件,该文件包含以下行:remove_action(\'wp_head\', \'wp_generator\');
.