之前搬主题也分享过一些对WordPress网站的安全设置,如【任意代码执行漏洞攻击及WordPress网站防护方法】、【文件包含漏洞攻击介绍及WordPress网站防护办法】,而且大部分的小伙伴基本已经了解了一些安全设置内容。如选择可靠的托管服务提供商 安装定期更新 自动进行异地备份 使用强密码 隐藏 wp-admin 登录链接 使用安全插件 但在本文中,搬主题还将介绍其他一些鲜为人知的技术,也就是压箱底的一些安全防护设置技巧,它们可以最大程度帮助你防止黑客入侵WordPress网站。不仅仅是隐藏 – 禁用wp-admin其实有很多方法可以隐藏网站的 wp-admin 部分,也有很多方法可以禁用它,只在需要时才启用。这可以通过插件实现,例如 WPS 隐藏登录,也可以通过 .htaccess 文件手动实现。可在 .htaccess 文件中添加以下代码,它将把所有用户(您的 IP 地址除外)重定向到 404 页面。这种方法在攻击者/爬虫机器人看来就像 wp-admin 不存在一样,但不会破坏 WP 核心代码或硬编码 wp-admin 路径的插件。
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^ 11.22.33.44$
RewriteRule ^(.*)$ - [R=403,L]
将以上11.22.33.44替换为您的 IP 地址。另一个解决方案是,除了你自己的 IP 地址外,完全禁止所有 IP 地址访问 wp-admin,而不是重定向。只需在wp-admin文件夹中创建一个新的 .htaccess 并在其中添加以下内容:## .htaccess inside the wp-admin folder
order deny,allow
deny from all
allow from 11.22.33.44将 11.22.33.44 替换为您的 IP 地址。将wp-config向上移动wp-config.php 包含一些敏感信息:您的数据库用户名/密码等,良好的安全做法是将该文件移到网站根目录(您的 /public_html 文件夹)之外。要移动 wp-config.php 文件,只需将其中的所有内容复制到另一个文件中即可。然后,在 wp-config.php 文件中添加以下代码段,就可以简单地包含其他文件了。
THE END
