使用 .htaccess 提高 WordPress
的安全性和可用性
保护 .htaccess
自身的安全性。阻止用户通过读取和写入 .htaceess 来更改安全性的设置。
<files .htaccess>
order allow,deny
deny from all
</files>
保护 wp-config.php 文件。我们可以通过 .htaccess 文件阻止用户读取和写入 WordPress
的主配置文件。这个指令假设 WordPress 是安装在站带你的根目录。
<files wp-config.php>
order allow,deny
deny from all
</files>
禁止浏览目录。这将阻止服务器在没有找到 index 文件(如 index.html,index.php
等等)的情况下显示文件夹目录内容。这能阻止用户看到文件夹的内容使得更难对网站发动攻击。
# disable directory browsing
Options All -Indexes
防止图片盗链。这个能够阻止其他网站盗链本网站的图片,迫使他们要么指向整个页面,或者其他存储图像的地方。这个保存了宝贵的带宽并且能够增加流量(虽然只是一点点)。下面的代码将会显示
stealingisbad.gif 这张图片,当有人试着热链到到你的网站来显示图片
#disable hotlinking of images
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?yourdomain.com/.*$
[NC]
#RewriteRule \.(gif|jpg|png)$
http://www.yourdomain.com/stealingisbad.gif [R,L]
在你的站点给每个 URL
设置符合规定的或者“标准”的链接。这能够帮助提高网站的可用性和提高网站在搜索引擎中的排名。总之,它会把来自
http://yourdomain.com 的请求重定向到 http://www.yourdomain.com/.
# set the canonical url
RewriteEngine On
RewriteCond %{HTTP_HOST} ^yourdomain\.com$ [NC]
RewriteRule ^(.*)$ http://www.yourdomain.com/$1
[R=301,L]
用一个robots文件
在你的根目录下放一个robots.txt
文件,告诉搜索引擎哪些内容你不想被收录。这样可以保证一些敏感文件不被搜索引擎收录进而被人搜到。这里是我的robots.txt文件,文章作者的robots.txt如下:
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /trackback
Disallow: /feed
Disallow: /comments
Disallow: */trackback
Disallow: */feed
Disallow: */comments
Allow: /wp-content/uploads
过滤垃圾评论
垃圾评论的害处我想就不用说了,而且它们更有可能带有一些危害你网站的代码什么的,所以一定要把垃圾评论过滤掉。插件和相关资源:Akismet
用户权限的安全
WordPress中的默认管理员为admin。在这里建议大家在blog建成后,新建一个新的用户并设置为最高的管理权限,以代替原有的admin,同时把admin删除。WordPress提供让访客自己注册账号的功能,建议把该功能取消或者限制其它用户权限为只能发表文章。取消方法,进入
WordPress后台:选项-常规,把“允许用户注册去”留空!删除默认的admin用户
隐藏wordpress版本信息
wp默认主题首页都有版本信息,黑客们会了解你使用的版本后找相应的漏洞。隐藏的方法是在后台主题修改里删掉下面的代码:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>”/>
使用SSH/Shell方式代替FTP登录操作
这里有一些很好的建议,点击这里查看。如果某人获得了你的FTP的登录信息(当然包括密码咯),他们就可以在登录后胡作非为的,这是很可怕的事情哦…而使用SSH/Shell你就大可放心,因为他们的任何传输都是通过加密的,保证安全性!其实像FlashFXP这类的软件其安全性很差的,很容易就能获得你保存的个人登录信息。
联系客服