網(wǎng)站的安全性在任何時(shí)候都是很重要的,特別是在網(wǎng)站經(jīng)營若干年之后,有了更多的數(shù)據(jù),更要保證網(wǎng)站的安全性,使用wordpress搭建的網(wǎng)站更是如此,特別是現(xiàn)在WordPress用戶越來越多,使用越來越廣泛,所以,被研究,被攻擊,也是必然的。 本篇文章里提到的都是在WordPress安裝之后的操作。 1,經(jīng)常備份; 備份的意思,是文件和數(shù)據(jù)庫都要備份,而且也包含附件。備份可以根據(jù)各自的特點(diǎn)來操作,比如WordPress的程序,如果不是每天都在修改WordPress的話,只要在每一次修改WordPress程序之后備份一次即可;附件,比如壓縮包和圖片,如果是存儲(chǔ)在主機(jī)當(dāng)中,那建議每周備份一次,畢竟每次備份到其他空間或者本地,是要消耗流量的;如果本身已經(jīng)存儲(chǔ)在第三方的網(wǎng)盤上,那就無需單獨(dú)備份了;數(shù)據(jù)庫,也每周備份一次即可。 這里推薦一款很好用的WordPress備份插件:BackWPup WordPress備份的三個(gè)原則:
2,保持WordPress程序在最新版 WordPress是一款開源的程序,因此有很多愛好者都很喜歡,而且發(fā)現(xiàn)問題都會(huì)及時(shí)的提交到WordPress官方,之前幾次的更新,都是提交之后,WordPress官方及時(shí)更新處理,所以,保持WordPress一直在最新版,可以有效的避免安全問題;
密碼有兩個(gè),一個(gè)是WordPress的登陸密碼;另外一個(gè)是主機(jī)的密碼;不要只使用數(shù)字和字母,空格,~!@#這種也可以用,當(dāng)然要記得,而且不定期更新,保證密碼的安全性,但要自己記得。 4,經(jīng)常檢查WordPress程序 這里需要說一下WordPress的權(quán)限,在linux主機(jī),運(yùn)行在cgi模式下的WordPress程序,文件夾的權(quán)限是:755;文件的權(quán)限是:644;.htaccess的權(quán)限也是644(有些文件,比如sitemap的xml可能需要777的權(quán)限,就WordPress本身的權(quán)限,按照上面說的即可)。 通過主機(jī)控制面板,是可以看到權(quán)限的,如果有文件權(quán)限不對(duì),建議先修改成正確的,然后打開文件,查看是否有惡意代碼;常被入侵的文件有三個(gè):根目錄的wp-config.php;index.php和當(dāng)前主題中的functions.php。 現(xiàn)在國內(nèi)也有很多檢測(cè)安全的網(wǎng)站,但還是建議使用國外的吧,比如:http://www.sucuri.net,當(dāng)然cPanel主機(jī)(http://idc.wopus.org/foreign/cp/)控制面板目前已經(jīng)內(nèi)置了病毒掃描工具。 5,設(shè)置WordPress的security keys 安裝WordPress之后,在wp-config.php文件中,有security keys,可以在 https://api.wordpress.org/secret-key/1.1/salt/ 中生成,都是隨即的,直接復(fù)制到wp-config.php,保存即可。 6,選擇性的使用WordPress插件和主題 其實(shí)很簡單,插件和主題,盡量使用WordPress官方的。 我們遇到過極端的情況,一個(gè)WordPress愛好者制作了幾款主題,都免費(fèi)分享了,但他的主機(jī)被入侵了,所有的主題,都被插入了惡意代碼,于是,使用之后,就悲劇了;當(dāng)然這種情況也出現(xiàn)在WordPress官方,也被入侵過,但WordPress很好的處理,并且加強(qiáng)了預(yù)防。 插件更是如此了,使用之前,先衡量一下,是否真的需要。 WordPress的用戶,都喜歡折騰,主要就是折騰主題和插件,但有選擇性的,可以很好的保證WordPress安全性。其實(shí),通過主題和插件威脅WordPress,是當(dāng)前一種主流的方式。 如果您有其他的建議或者好的經(jīng)驗(yàn),請(qǐng)留言,我們會(huì)不斷更新,希望大家都有安全的WordPress網(wǎng)站。 |