在浏览器中打开 http://你的WordPress安装地址/wp-admin/images/ 看看有什么效果?
在浏览器中打开 http://你的WordPress安装地址/wp-admin/ ,随意输入用户名和密码,看看你的博客允许你输错多少次?
在images/目录下放置一个index.html或index.php
index.html放置跳转到404的代码
一、设置一个安全的密码
虽然这已经是老生常谈了,但是还是建议给你的 WordPress设置一个安全的密码,最好给WordPress设置一个单独的密码,即这个密码在别的地方还没有用过。
二、隐藏你的目录
假设你的博客地址是www.your.com ,默认情况下,如果访问这个网址www.your.com/wp-content/plugins,将会以列表的形式把plugins目录下的文件列出来,这样别人就轻而易举的知道你安装了哪些插件,黑客可能会利用这些插件的漏洞来攻击你的网站,那可不好!安全做法是在这个目录下放入一个空白的index.html。同样也可以在其他你不想让别人看到的目录中放置index.html,例如wp-content
三、使用Login Lockdown插件
如果别人不知道你的密码,他又想非法登录你的博客后台,那他一般会选择暴力破解你的密码,即一个一个地试,直到破译你的密码为止。使用Login Lockdown插件在一定程度上阻止别人测试你的密码,如果探测到一个 IP 段在一时间段内登录失败的次数超过了某一数目,就会自动锁定其登录功能,并禁止此 IP 段的使用者登入系统。这个登录失败的次数和限制登录的时间间隔等,都可以在你的后台设置。
四、及时备份你的博客
使用WordPress Database Backup插件可以很方便的备份你的博客数据库,可以选择两种方式备份:一、备份到你的网站空间的某个目录下;二、把备份文件发送到你的邮箱。我是把备份文件发送到我的邮箱,这样可以防止网站服务器挂了,备份也没了.
五、去除header.php中的版本信息
普通模板会在header.php中加入如下信息来显示使用中的WP版本,这样不良企图的人会根据版本来进行攻击。把下面的代码删除:
|
1
|
<meta name="generator" content="WordPress <?php bloginfo(‘version’); ?>" />
|
六、保护 wp-config.php 文件
将wp-config.php的权限设置为只读,这样一般别人就看不到了。另外你可以在.htaccess 文件中加入以下语句来防止其它人浏览到 wp-config.php 文件:
|
1
2 3 4 5 |
# protect wpconfig.php
<files wp-config.php> Order deny,allow deny from all </files> |
七、更改登录用户名,隐藏你的登录名
安装好WordPress 后,就应该立刻使用自己的用户名和密码创建另一个有管理员权限的用户,并将 "admin" 用户删除。WordPress 中有一个很好的方法,就是可以隐藏你的登录名。在"用户"设置中,你可以把你的"对外显示为"更改为你的昵称,这样在你发布文章的时候,给访客回复的时候,显示的就是你的昵称,而不是你的后台登录名。