保護 WordPress 安裝實例的安全

若要檢查並保證 WordPress 安裝實例的安全：

1. 轉到 網站與域名 >  WordPress。
2. 進行以下任一操作：
   • 若要檢查所有 WordPress 安裝實例的安全性，請點按 檢查安全性。
   • 若要保證單個 WordPress 安裝實例的安全，請點按所需 WordPress 安裝實例名稱旁邊的 S 列。
   • 若要保證兩個或多個 WordPress 安裝實例的安全，請選擇 WordPress 安裝實例對應的核取方塊，並點按 檢查安全性。
3. 請選擇您想要應用安全提升所對應的核取方塊，然後點按 安全。

   

警示： 請記住不是所有的安全提升都能回滾。建議在保證 WordPress 安裝實例的安全之前備份相應的訂閱。

WordPress 的所有安全提升

• wp-content 資料夾。wp-content 目錄可能包含不安全的 PHP 檔，這些檔可用於破壞您的網站。安裝了 WordPress 之後，可從 wp-content 目錄執行 PHP 檔。安全檢查會驗證是否已禁止執行 wp-content 目錄中的 PHP 檔。請注意，在 .htaccess 或 web.config 檔中的自訂指令可能會覆蓋此安全措施。還要注意，在保護 wp-content 資料夾後，您的一些外掛程式可能會停止工作。
• wp-includes 資料夾。wp-includes 目錄可能包含不安全的 PHP 檔，這些檔可用於破壞您的網站。安裝了 WordPress 之後，可從 wp-includes 目錄執行 PHP 檔。安全檢查會驗證是否已禁止執行 wp-includes 目錄中的 PHP 檔。請注意，在 .htaccess 或 web.config 檔中的自訂指令可能會覆蓋此安全措施。還要注意，在保護 wp-includes 資料夾後，您的一些外掛程式可能會停止工作。
• 設定檔。wp-config.php 檔包含資料庫的驗證憑據和其它的敏感資訊。安裝了 WordPress 之後，可執行 wp-config.php 文件。如果，由於某些原因，web 伺服器在處理 PHP 檔的過程中關閉，駭客便可以存取 wp-config.php 檔的內容。安全檢查會驗證是否已阻止未經授權存取 wp-config.php 文件。請注意，在 .htaccess 或 web.config 檔中的自訂指令可能會覆蓋此安全措施。
• 目錄瀏覽許可權。如果目錄瀏覽打開，駭客可以獲得有關您網站的資訊（使用的外掛程式等）。在 Plesk 中目錄瀏覽預設為已關閉。安全檢查會驗證是否已關閉 WordPress 安裝實例上的目錄瀏覽。
• 資料庫首碼。在所有 WordPress 安裝實例中 WordPress 資料庫表具有相同名稱。當資料庫表名稱的標準首碼 wp_ 被使用時，整個 WordPress 資料庫結構就無法保密，任何人都可以從中獲取任何資料。安全檢查會更改資料庫表格名稱首碼為除了 wp_ 之外的其它首碼。維護模式會打開，所有外掛程式會停用，在設定檔中更改首碼，在資料庫中更改首碼，外掛程式會重新啟動，永久連結結構會刷新，然後維護模式會關閉。
• 安全金鑰。WordPress 使用安全金鑰（AUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEY 和 NONCE_KEY）以保證更好地加密存儲在使用者 cookie 中的資訊。一個好的安全金鑰應該很長（60 個字元或更長），隨機且足夠複雜。安全檢查會核實安全金鑰已設定並且至少包含字母和數位字元。
• 檔和目錄許可權。如果檔和目錄的許可權不符合安全性原則，這些檔便可用於攻擊您的網站。安裝了 WordPress 之後，檔和目錄可以有不同的許可權。安全檢查會核實 wp-config.php 文件的許可權設定為 600，其它文件的許可權為 644，且目錄的許可權為 755。
• 管理員的用戶名。安裝了 WordPress 副本後，默認會有一個擁有管理員許可權且用戶名為 admin的用戶。由於在 WordPress 中用戶的用戶名無法更改，作為管理員只需猜測密碼以存取系統。安全檢查會核實不存在任何擁有管理員許可權且用戶名為 admin 的用戶。
• 版本資訊。每個 WordPress 版本都存在已知的安全性漏洞。因此，顯示 WordPress 安裝實例的版本會使駭客更容易將它做為目標。可在頁面的中繼資料和 readme.html 檔中看到未受保護的 WordPress 安裝實例版本。安全檢查會核實所有readme.html 檔是空的，並且每個主題都有一個 functions.php 檔，該檔包含以下行： remove_action(\'wp_head\', \'wp_generator\');.