为您的WordPress开启SSL安全登陆
当然并不是所有的WordPress主机都支持SSL安全登陆,因此在执行本条规则之前记得先咨询Hosting提供商,确保当前的服务器支持SSL,然后在站点wp-config.php里边加入如下代码:
/* Enable SSL Encryption */
define(‘FORCE_SSL_LOGIN’, true);
define(‘FORCE_SSL_ADMIN’, true);
保存退出,重新登陆您的WordPress站点后台会发现网站后台自动转向了https://,因为大部分WordPress前台并不需要SSL加密,而后台涉及更多的安全性问题,加载SSL将起到很好的保护作用。
防止WordPress被SQL代码注入
如今SQL代码注入已经越来越成为网站安全性的一大隐患,哪怕仅仅是一小段代码通过各种渠道注入到WordPress站点里边,都将可能带来极大的风险,甚至危机整个服务器所有站点的安全性,为了防止类似的注入风险,必须保护 PHP GLOBALS 和 _REQUEST 参数,请将以下代码加入到站点根目录的.htaccess里边:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
以上代码将检测任何来访请求是否涉及修改PHP GLOBALS 和 _REQUEST 参数,如果有任何涉及的请求,该请求将被阻止,并返回一个403错误页面。
WordPress关闭后台文件编辑方法
请在网站根目录wp-config.php文件中加入如下代码:
/* Disable Theme and Plug-in Editor */
define('DISALLOW_FILE_EDIT', true);
保存退出后,再次进入后台会发现外观菜单里边的编辑按钮消失了,就算你输入了/wp-admin/theme-editor.php打开也会返回一个没有权限的错误提示,确保就算万一后台密码被破解或者得到以后不至于进入模版编辑界面进行随意的篡改模版文件,然后因为一般为了方便后台编辑模版文件都会把模版目录权限直接给予了最高的777权限,出于安全考虑必须将所有文件夹恢复为755,所有文件恢复为644,但是如果模版文件很多,挨个去修改肯定不现实,可以通过以下命令进行批量修改:
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
执行以上两行命令以后,所有该文件夹底下的文件和文件夹都有了安全的属性。
阻止uploads目录php执行权限
我们都知道WordPress网站关闭后台模版文件编辑权限和进行了模版文件可写属性去除以后,就剩余/wp-content/uploads目录的安全性问题了,这个目录是唯一一个给予了777权限的目录,假设被恶意的上传了一个可执行的PHP文件并且被执行以后,后果可想而知,因此需要保证此目录不可以执行任何php文件,方法是在该目录新建一个.htaccess文件,加入如下代码:
Deny from All
保存退出以后,uploads目录就被禁止了执行php的权限。