保護 WordPress 安裝實例的安全
若要檢查並保證 WordPress 安裝實例的安全:
- 轉到 網站與域名 > WordPress。
- 進行以下任一操作:
- 若要檢查所有 WordPress 安裝實例的安全性,請點按 檢查安全性。
- 若要保證單個 WordPress 安裝實例的安全,請點按所需 WordPress 安裝實例名稱旁邊的 S 列。
- 若要保證兩個或多個 WordPress 安裝實例的安全,請選擇 WordPress 安裝實例對應的核取方塊,並點按 檢查安全性。
- 請選擇您想要應用安全提升所對應的核取方塊,然後點按 安全。
警示: 請記住不是所有的安全提升都能回滾。建議在保證 WordPress 安裝實例的安全之前備份相應的訂閱。
WordPress 的所有安全提升
-
wp-content 資料夾。
wp-content
目錄可能包含不安全的 PHP 檔,這些檔可用於破壞您的網站。安裝了 WordPress 之後,可從wp-content
目錄執行 PHP 檔。安全檢查會驗證是否已禁止執行wp-content
目錄中的 PHP 檔。請注意,在.htaccess
或web.config
檔中的自訂指令可能會覆蓋此安全措施。還要注意,在保護 wp-content 資料夾後,您的一些外掛程式可能會停止工作。 -
wp-includes 資料夾。
wp-includes
目錄可能包含不安全的 PHP 檔,這些檔可用於破壞您的網站。安裝了 WordPress 之後,可從wp-includes
目錄執行 PHP 檔。安全檢查會驗證是否已禁止執行wp-includes
目錄中的 PHP 檔。請注意,在.htaccess
或web.config
檔中的自訂指令可能會覆蓋此安全措施。還要注意,在保護 wp-includes 資料夾後,您的一些外掛程式可能會停止工作。 -
設定檔。
wp-config.php
檔包含資料庫的驗證憑據和其它的敏感資訊。安裝了 WordPress 之後,可執行wp-config.php
文件。如果,由於某些原因,web 伺服器在處理 PHP 檔的過程中關閉,駭客便可以存取wp-config.php
檔的內容。安全檢查會驗證是否已阻止未經授權存取wp-config.php
文件。請注意,在.htaccess
或web.config
檔中的自訂指令可能會覆蓋此安全措施。 - 目錄瀏覽許可權。如果目錄瀏覽打開,駭客可以獲得有關您網站的資訊(使用的外掛程式等)。在 Plesk 中目錄瀏覽預設為已關閉。安全檢查會驗證是否已關閉 WordPress 安裝實例上的目錄瀏覽。
-
資料庫首碼
。在所有 WordPress 安裝實例中 WordPress 資料庫表具有相同名稱。當資料庫表名稱的標準首碼wp_
被使用時,整個 WordPress 資料庫結構就無法保密,任何人都可以從中獲取任何資料。安全檢查會更改資料庫表格名稱首碼為除了wp_
之外的其它首碼。維護模式會打開,所有外掛程式會停用,在設定檔中更改首碼,在資料庫中更改首碼,外掛程式會重新啟動,永久連結結構會刷新,然後維護模式會關閉。 -
安全金鑰
。WordPress 使用安全金鑰(AUTH_KEY
、SECURE_AUTH_KEY
、LOGGED_IN_KEY
和NONCE_KEY
)以保證更好地加密存儲在使用者 cookie 中的資訊。一個好的安全金鑰應該很長(60 個字元或更長),隨機且足夠複雜。安全檢查會核實安全金鑰已設定並且至少包含字母和數位字元。 -
檔和目錄許可權
。如果檔和目錄的許可權不符合安全性原則,這些檔便可用於攻擊您的網站。安裝了 WordPress 之後,檔和目錄可以有不同的許可權。安全檢查會核實wp-config.php
文件的許可權設定為600
,其它文件的許可權為644
,且目錄的許可權為755
。 -
管理員的用戶名
。安裝了 WordPress 副本後,默認會有一個擁有管理員許可權且用戶名為admin
的用戶。由於在 WordPress 中用戶的用戶名無法更改,作為管理員只需猜測密碼以存取系統。安全檢查會核實不存在任何擁有管理員許可權且用戶名為admin
的用戶。 -
版本資訊
。每個 WordPress 版本都存在已知的安全性漏洞。因此,顯示 WordPress 安裝實例的版本會使駭客更容易將它做為目標。可在頁面的中繼資料和readme.html
檔中看到未受保護的 WordPress 安裝實例版本。安全檢查會核實所有readme.html
檔是空的,並且每個主題都有一個functions.php
檔,該檔包含以下行:remove_action(\'wp_head\', \'wp_generator\');
.