如何為Wordpress做安全防護(hù)
用wordpress搭建好博客以后需要做一些防護(hù)工作:1.選擇安全可靠的主機(jī)
10年積累的網(wǎng)站設(shè)計(jì)制作、成都做網(wǎng)站經(jīng)驗(yàn),可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求�。提供各種問題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好��、更有力的網(wǎng)絡(luò)服務(wù)����。我雖然不認(rèn)識(shí)你,你也不認(rèn)識(shí)我��。但先做網(wǎng)站設(shè)計(jì)后付款的網(wǎng)站建設(shè)流程�,更有吉州免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。
謹(jǐn)慎選擇一款安全可靠的主機(jī)�,不要使用免費(fèi)主機(jī)和劣質(zhì)主機(jī)。免費(fèi)主機(jī)只適合用來學(xué)習(xí)程序和建站方法���,但是倡萌一直不建議使用免費(fèi)主機(jī)來托管正式上線的網(wǎng)站�。當(dāng)然了�,最好也不要使用那些特別廉價(jià),管理經(jīng)驗(yàn)不足的主機(jī)商的服務(wù)����。
2.升級(jí)到WordPress最新版
只從WordPress官方下載源碼�,不要到第三方網(wǎng)站下載���。盡可能升級(jí)到WordPress最新版�����,及時(shí)修補(bǔ)程序漏洞����,包括WordPress核心源碼��、WordPress主題以及WordPress插件���。
3.使用官方WordPress主題和插件
這里所說的官方�,一是WordPress官方����,二是主題或插件開發(fā)者的官方�����,盡量避免使用“破解”版主題����、插件�����,慎用網(wǎng)上傳播的原本是收費(fèi)����,但是被人惡意提供免費(fèi)下載的主題�����、插件�。
4.修改數(shù)據(jù)庫默認(rèn)前綴wp_
很多朋友安裝WordPress都沒有修改數(shù)據(jù)庫前綴,如果你打算修改默認(rèn)的前綴wp_���,請根據(jù)如何修改WordPress數(shù)據(jù)庫前綴來修改���。
5.修改默認(rèn)的用戶名admin
WordPress3.*以上已經(jīng)支持安裝時(shí)自定義登錄用戶名,如果你使用默認(rèn)的admin���,建議你根據(jù)下面的方法進(jìn)行修改:
方法一:后臺(tái)新建一個(gè)用戶�,角色為管理員,然后使用新用戶登錄����,刪除默認(rèn)的admin用戶。
方法二:登錄phpmyAdmin�,瀏覽當(dāng)前數(shù)據(jù)庫的wp_users數(shù)據(jù)表,將user_login和user_nicename修改為新用戶名���。同時(shí)建議修改“我的個(gè)人資料”中的的昵稱���,然后設(shè)置“公開顯示為”非用戶名的其他方式:
6.使用高級(jí)密碼,經(jīng)常更換密碼
建議使用含大寫字母�����、小寫字母�、數(shù)字和其他符號(hào)的復(fù)雜密碼,比如nuH4j*aHG%dMz�����,避免使用生日���、手機(jī)號(hào)��、QQ號(hào)等�。
7.隱藏WordPress版本信息
默認(rèn)情況下會(huì)在頭部輸出WordPress版本信息�����,你可以在主題的functions.php最后一個(gè)?前面添加:
//隱藏版本號(hào)
functionwpbeginner_remove_version(){
return'';
}
add_filter('the_generator','wpbeginner_remove_version');
8.修改wp-admin目錄的訪問權(quán)限
你可以通過限定IP地址訪問WordPress管理員文件夾來進(jìn)行保護(hù)����,所有其他IP地址訪問都返回禁止訪問的信息。另外��,你需要放一個(gè)新的.htaccess文件到wp-admin目錄下�,防止根目錄下的.htaccess文件被替換。
9.定期備份網(wǎng)站數(shù)據(jù)
可以借助WordPress備份插件進(jìn)行自動(dòng)備份或手動(dòng)備份:WordPress數(shù)據(jù)庫定時(shí)備份插件:WordPressDatabaseBacku
使用WordPress自帶導(dǎo)出導(dǎo)入功能備份和恢復(fù)網(wǎng)站
WordPress克隆/備份/搬家插件:WPClone
WordPress超強(qiáng)備份插件:BackWPup(支持FTP/Email/本地/網(wǎng)盤)
10.安裝安全插件
WordPressFirewall2該插件可以幫助你識(shí)別/阻止一些有效的攻擊�����,例如目錄掃描���、SQL注入�����、WP文件掃描����、PHPEXE掃描等,并可將其定向到404或者首頁���。如果有問題還可以通過電子郵件通知你處理����,還可以阻止一些IP的訪問�����。
BetterWPSecurity由于大多數(shù)的WP網(wǎng)站存在插件漏洞����、弱口令、過時(shí)的插件/程序���,隱藏這些漏洞可以更好的保護(hù)網(wǎng)站�����,例如保護(hù)登
錄和管理區(qū)(控制面板���?儀表盤����?)�����。LoginLockdown這個(gè)插件可以記錄失敗的登錄嘗試的IP地址和時(shí)間�����,若是來自某一個(gè)IP地址的這種失敗登錄
超過一定條件��,那么系統(tǒng)將禁止這一IP地址繼續(xù)嘗試登錄��。
LimitLoginAttemptsLimitLoginAttempts限制登錄嘗試的次數(shù)來防止暴力破解���,增強(qiáng)WordPress的安全系數(shù)。
WPSecurityScan該插件會(huì)自動(dòng)按照以上的安全建議對(duì)WordPress進(jìn)行安全掃描���,查找存在的問題�����。
11.修改WordPress后臺(tái)登錄地址
將下面的代碼添加到當(dāng)前主題的functions.php文件:
//保護(hù)后臺(tái)登錄
add_action('login_enqueue_scripts','login_protection');
functionlogin_protection(){
if($_GET['word']!='press')header('Location:');
}這樣一來��,后臺(tái)登錄的唯一地址就是����,如果不是這個(gè)地址,就
會(huì)自動(dòng)跳轉(zhuǎn)到�����,不信你試試!你可以修改第4行的Word���、press和http:
//這三個(gè)參數(shù)��。
12.避免WordPress泄露你的用戶名
你有沒有想過����,如果你的網(wǎng)站的登陸名被別人知道了�,偏偏他是一個(gè)比較精通WordPress的人,而且會(huì)寫腳本暴力破解�����,那么后果就不堪設(shè)想����。實(shí)際上�����,Wordpress這么一個(gè)漏洞��,至今依然存在��,并且常常會(huì)被黑客利用
想要知道WordPress的管理員用戶名�?很簡單����,只要在網(wǎng)站的域名后面加/?author=1就行了�����。
如果/?author=1顯示404界面���,那很可能是以前有過admin用戶�,后來站長發(fā)現(xiàn)用默認(rèn)帳戶admin太不安全了�����,就新建了一個(gè)管理
員帳戶��,并刪除了admin帳戶。這種情況下����,用/?author=2就能顯示出用戶名了。如果使用admin帳戶��,確實(shí)不安全�����,但是如果你的博客使用一
個(gè)復(fù)雜的用戶名����,卻經(jīng)不起這么簡單的一個(gè)URL的考驗(yàn),這和使用admin帳戶沒有根本上的區(qū)別��。既然存在漏洞���,那么就要去填補(bǔ)它��。要填補(bǔ)這個(gè)漏洞��,倒還
真的不是什么難事�����。我的思路就是����,只要訪問主頁url后頭有author參數(shù)就讓他跳到主頁
將下面的代碼添加到當(dāng)前主題的functions.php文件:
add_filter('author_link','my_author_link');
functionmy_author_link(){
returnhome_url('/');
}
用wordpress搭建好博客以后需要做一些防護(hù)工作:
1.選擇安全可靠的主機(jī)
謹(jǐn)慎選擇一款安全可靠的主機(jī),不要使用免費(fèi)主機(jī)和劣質(zhì)主機(jī)��。免費(fèi)主機(jī)只適合用來學(xué)習(xí)程序和建站方法��,但是倡萌一直不建議使用免費(fèi)主機(jī)來托管正式上線的網(wǎng)站����。當(dāng)然了,最好也不要使用那些特別廉價(jià)��,管理經(jīng)驗(yàn)不足的主機(jī)商的服務(wù)����。
2.升級(jí)到WordPress最新版
只從WordPress官方下載源碼��,不要到第三方網(wǎng)站下載�����。盡可能升級(jí)到WordPress最新版,及時(shí)修補(bǔ)程序漏洞��,包括WordPress核心源碼�、WordPress主題以及WordPress插件。
3.使用官方WordPress主題和插件
這里所說的官方�,一是WordPress官方,二是主題或插件開發(fā)者的官方����,盡量避免使用“破解”版主題、插件�����,慎用網(wǎng)上傳播的原本是收費(fèi)�����,但是被人惡意提供免費(fèi)下載的主題�����、插件�。
4.修改數(shù)據(jù)庫默認(rèn)前綴wp_
很多朋友安裝WordPress都沒有修改數(shù)據(jù)庫前綴,如果你打算修改默認(rèn)的前綴wp_���,請根據(jù)如何修改WordPress數(shù)據(jù)庫前綴來修改����。
5.修改默認(rèn)的用戶名admin
WordPress3.*以上已經(jīng)支持安裝時(shí)自定義登錄用戶名,如果你使用默認(rèn)的admin�����,建議你根據(jù)下面的方法進(jìn)行修改:
方法一:后臺(tái)新建一個(gè)用戶�����,角色為管理員����,然后使用新用戶登錄,刪除默認(rèn)的admin用戶�����。
方法二:登錄phpmyAdmin���,瀏覽當(dāng)前數(shù)據(jù)庫的wp_users數(shù)據(jù)表,將user_login和user_nicename修改為新用戶名���。同時(shí)建議修改“我的個(gè)人資料”中的的昵稱����,然后設(shè)置“公開顯示為”非用戶名的其他方式:
6.使用高級(jí)密碼,經(jīng)常更換密碼
建議使用含大寫字母��、小寫字母�����、數(shù)字和其他符號(hào)的復(fù)雜密碼����,比如nuH4j*aHG%dMz,避免使用生日��、手機(jī)號(hào)���、QQ號(hào)等�����。
7.隱藏WordPress版本信息
默認(rèn)情況下會(huì)在頭部輸出WordPress版本信息���,你可以在主題的functions.php最后一個(gè)?前面添加:
//隱藏版本號(hào)
functionwpbeginner_remove_version(){
return'';
}
add_filter('the_generator','wpbeginner_remove_version');
8.修改wp-admin目錄的訪問權(quán)限
你可以通過限定IP地址訪問WordPress管理員文件夾來進(jìn)行保護(hù)��,所有其他IP地址訪問都返回禁止訪問的信息�。另外��,你需要放一個(gè)新的.htaccess文件到wp-admin目錄下�����,防止根目錄下的.htaccess文件被替換�。
9.定期備份網(wǎng)站數(shù)據(jù)
可以借助WordPress備份插件進(jìn)行自動(dòng)備份或手動(dòng)備份:WordPress數(shù)據(jù)庫定時(shí)備份插件:WordPressDatabaseBacku
使用WordPress自帶導(dǎo)出導(dǎo)入功能備份和恢復(fù)網(wǎng)站
WordPress克隆/備份/搬家插件:WPClone
WordPress超強(qiáng)備份插件:BackWPup(支持FTP/Email/本地/網(wǎng)盤)
10.安裝安全插件
WordPressFirewall2該插件可以幫助你識(shí)別/阻止一些有效的攻擊,例如目錄掃描����、SQL注入、WP文件掃描���、PHPEXE掃描等���,并可將其定向到404或者首頁。如果有問題還可以通過電子郵件通知你處理���,還可以阻止一些IP的訪問。
BetterWPSecurity由于大多數(shù)的WP網(wǎng)站存在插件漏洞���、弱口令����、過時(shí)的插件/程序,隱藏這些漏洞可以更好的保護(hù)網(wǎng)站����,例如保護(hù)登
錄和管理區(qū)(控制面板?儀表盤�?)。LoginLockdown這個(gè)插件可以記錄失敗的登錄嘗試的IP地址和時(shí)間����,若是來自某一個(gè)IP地址的這種失敗登錄
超過一定條件,那么系統(tǒng)將禁止這一IP地址繼續(xù)嘗試登錄����。
LimitLoginAttemptsLimitLoginAttempts限制登錄嘗試的次數(shù)來防止暴力破解,增強(qiáng)WordPress的安全系數(shù)����。
WPSecurityScan該插件會(huì)自動(dòng)按照以上的安全建議對(duì)WordPress進(jìn)行安全掃描,查找存在的問題��。
11.修改WordPress后臺(tái)登錄地址
將下面的代碼添加到當(dāng)前主題的functions.php文件:
//保護(hù)后臺(tái)登錄
add_action('login_enqueue_scripts','login_protection');
functionlogin_protection(){
if($_GET['word']!='press')header('Location:');
}這樣一來����,后臺(tái)登錄的唯一地址就是���,如果不是這個(gè)地址,就
會(huì)自動(dòng)跳轉(zhuǎn)到���,不信你試試!你可以修改第4行的Word�����、press和http:
//這三個(gè)參數(shù)����。
12.避免WordPress泄露你的用戶名
你有沒有想過���,如果你的網(wǎng)站的登陸名被別人知道了���,偏偏他是一個(gè)比較精通WordPress的人,而且會(huì)寫腳本暴力破解�����,那么后果就不堪設(shè)想。實(shí)際上���,Wordpress這么一個(gè)漏洞,至今依然存在���,并且常常會(huì)被黑客利用
想要知道WordPress的管理員用戶名��?很簡單�����,只要在網(wǎng)站的域名后面加/?author=1就行了����。
如果/?author=1顯示404界面�����,那很可能是以前有過admin用戶�,后來站長發(fā)現(xiàn)用默認(rèn)帳戶admin太不安全了,就新建了一個(gè)管理
員帳戶�,并刪除了admin帳戶。這種情況下��,用/?author=2就能顯示出用戶名了����。如果使用admin帳戶�,確實(shí)不安全����,但是如果你的博客使用一
個(gè)復(fù)雜的用戶名,卻經(jīng)不起這么簡單的一個(gè)URL的考驗(yàn)����,這和使用admin帳戶沒有根本上的區(qū)別。既然存在漏洞����,那么就要去填補(bǔ)它。要填補(bǔ)這個(gè)漏洞����,倒還
真的不是什么難事。我的思路就是�����,只要訪問主頁url后頭有author參數(shù)就讓他跳到主頁
將下面的代碼添加到當(dāng)前主題的functions.php文件:
add_filter('author_link','my_author_link');
functionmy_author_link(){
returnhome_url('/');
}
有了以上的防護(hù)工作�����,你辛辛苦苦搭建的wp博客就不會(huì)沒那么容易的被黑闊光顧。
為什么a5交易區(qū)wordpress的需求那么少
現(xiàn)在我就常常在想�����,為什么在交易區(qū)很少看到wordpress的需求呢�����,甚至放眼整個(gè)中國互聯(lián)網(wǎng)情況也大致相同��,這背后一定有什么原因���。在認(rèn)真地想了一陣子以后,我覺得我抓住了其中的關(guān)鍵�,下面我就來說說我是怎么看待這個(gè)現(xiàn)象的。
【 首先��,wordpress作為博客并沒有太大的贏利可能性����,所以需要付費(fèi)的需求也就小?����!?/p>
Wordpress的出現(xiàn)就是以撰寫博文為出發(fā)點(diǎn)的,博文是什么呢����,就是個(gè)人的思想,個(gè)人的記錄�,個(gè)人的分享,不論從哪方面來說����,這些內(nèi)容大部分不會(huì)有什么價(jià)值,有誰想去知道你每天做了什么����,想了些什么,發(fā)現(xiàn)了什么好玩的���,大部分人的博客是沒有價(jià)價(jià)值的��。除了少部分專心做博客的人���,許多人都沒有盈利的能力,所以想要在一個(gè)賺不來錢的事物上面花錢�,很多人的第一個(gè)想法就是一分錢都嫌多���。總之就是�,想靠wordpress賺錢,一個(gè)字難�����,所以這方面的需求就不多����。
【其次���,wordpress不符合國內(nèi)的習(xí)慣��?����!?/p>
國內(nèi)的習(xí)慣是什么呢����,不用我說你也知道���,那就是國外的拿來改����,別人的拿來用。不論是從站點(diǎn)的整體結(jié)構(gòu)上����,還是從文章內(nèi)容上都是這個(gè)套路。很多wordpress主題都是直接把國外的主題稍微改動(dòng)一下就拿來用了����,但是改的水平有好有壞,比如有些主題完全不知道中文與英文的差異����,英文別人用小字號(hào)看起來一點(diǎn)問題都沒有,但是變成中文以后就完全看不清楚了�。使用Wordpress的人很多不是技術(shù)人員,一看到這些看都看不清楚的主題�����,你說他們還能有好感嗎�����。還有一個(gè)就是偽原創(chuàng)的大行其道,做站的人�,想做大就不得不進(jìn)行偽原創(chuàng),你想從網(wǎng)站上賺到錢���,你就要這么做�����,當(dāng)然了如果你能堅(jiān)持吃上幾個(gè)月泡面�����,認(rèn)真寫原創(chuàng)也是很有可能成功的����,而且會(huì)是很大的成功哦���,我看好你哦!可惜有誰會(huì)這么做呢。偽原創(chuàng)直接導(dǎo)致一個(gè)現(xiàn)象那就是批量采集�����,但是wordpress在這方面是相當(dāng)弱的����,所以就不會(huì)是人們做站的首選�����。
【最后����,用的人不多��?!?/p>
也許你認(rèn)為wordpress是全世界使用最多的網(wǎng)站程序,這確實(shí)沒有錯(cuò)��,但是你要記得一個(gè)詞叫做中國特色��,或許中國不是世界的一部分?在中國大家用的比較多的是那些xxxCMS,方便采集���,方便批量管理�,方便收錄�,方便做成一個(gè)很像門戶的網(wǎng)站。大家都想把自己的網(wǎng)站做成門戶���,這一點(diǎn)或許就是導(dǎo)致使用wordpress的人不多的原因吧����。
做外貿(mào)電商,shopify�����,opencart�,wordpress哪個(gè)好
shopfiy:: 采用月租,百分之三分成方式���,好的組件也是同樣的月租方式���,對(duì)于中小團(tuán)隊(duì)基礎(chǔ)電商的預(yù)算與需求是沒有問題,但對(duì)于銷售量大的產(chǎn)品這個(gè)系統(tǒng)是不合適���,銷售提成的百分之三是占很大的比例�����,同時(shí)該系統(tǒng)相高度自定義風(fēng)格這個(gè)成本較高,大多數(shù)采用購買模板的方式快速建站
opencart: 屬輕量級(jí)電商系統(tǒng),目前市場占有率也較高,安全性與穩(wěn)定性較差�,易出問題,運(yùn)營擴(kuò)展方面的功能較弱�����,因?yàn)殚T檻不高,在建站投入這塊價(jià)格較低
zencart,: 老牌電子商系統(tǒng)�����,由于靈活性不高�����,功能擴(kuò)展不便�,目前市場占有率越來越低,基本在外貿(mào)建站平臺(tái)中消失
wordpress: 定位是在cms這塊���,但簡單易用得到了很多相關(guān)的技術(shù)支持�,woocommerce就是wordpress電商的延升
wordpress 和 emlog 那款好
我個(gè)人感受就是
wordpress功能強(qiáng)大 插件多 主題也多��,相應(yīng)的��,最大缺點(diǎn)就是慢~~(同等服務(wù)器下)
emlog功能體系相對(duì)比wordpress弱���,主題沒那么多(不過其實(shí)還是可以找到喜歡的)�,我覺得比wordpress好的地方就是速度快
新聞名稱:wordpress最弱 wordpress難不難
標(biāo)題URL:
http://weahome.cn/article/dddoseg.html
重慶分公司
重慶分公司
