無論你的網(wǎng)站規(guī)模是大還是小,丟失站點數(shù)據(jù),或是無法管理你自己的站點,都會讓你神經(jīng)緊繃。WordPress驅(qū)動著全世界25%的Web,對于黑客來說,WordPress網(wǎng)站是他們最重要的目標之一。
在這篇文章中,我們將會討論一些加強WordPress安全性的小tip。
1. Bcrypt密碼散列
WordPress成立于2003年,那時PHP和Web還剛剛起步。那時候Facebook還沒有出現(xiàn),PHP還沒有OOP架構(gòu);因此,今天WordPress的安全性已經(jīng)稍顯過時,例如其密碼加密的方式。
如今WordPress還在使用MD5散列。基本上說,它只是把123456變成這樣:e10adc3949ba59abbe56e057f20f883e。然而,如今的計算機比10年前要復雜精密的多,因此這樣的密碼可以被輕易攻破。
自從5.5版本之后,PHP有了本地的加密方式,如果你的WordPress網(wǎng)站,所使用的PHP版本高于5.5,你可以使用這個功能。
你可以安裝Composer或是MU-Plugins插件,重新保存你的密碼。
2. 啟用WordPress.com防護
Brute-force是黑客最常用的密碼破解方式。因此,你需要設(shè)定一些非常難猜的密碼。
WordPress.com的母公司Automattic收購了一個非常流行的防brute-force插件。這個插件的名字叫BruteProtect,它如今已經(jīng)被整合到Jetpeck里面了。事實證明,這個插件的防護效率非常好。
首先,你需要安裝 新版本的Jetpack,然后將你的網(wǎng)站連接至WordPress.com。之后打開防護模塊,將你自己的IP添加到白名單中。
之后,你的網(wǎng)站就更加安全了。
3. 隱藏登錄URL
誰都知道,要想登錄WordPress后臺,你只需要在域名后面加上wp-login.php,不僅你知道,黑客也知道。因此,你需要隱藏你的登錄URL,讓這個URL只對你開放。
幸運的是,你可以通過一些簡單的插件來實現(xiàn)這個目的:
1) iThemes Security
2) WPS Hide Login
4. 關(guān)閉"忘記密碼"
"忘記密碼"功能能讓你通過其他方式找回你的密碼,但是黑客們也可以通過這個方式來獲取你的密碼。因此,你好關(guān)閉這個功能。
我們需要創(chuàng)建一個新的文件并且上傳,將其命名為forget-password.php。
首先,我們要更改丟失密碼的URL:
function lostpassword_url() {
return site_url( 'wp-login.php' );
}
add_filter( 'lostpassword_url','lostpassword_url' );
移除鏈接。但是,WordPress本身并不支持這個操作,因此我們需要使用JavaScript。
function lostpassword_elem( $page ) { ?>
最后,將"丟失密碼"的URL重定向到登錄頁。
function lostpassword_redirect() {
if ( isset( $_GET[ 'action' ] ) ){
if ( in_array( $_GET[ 'action' ], array( 'lostpassword', 'retrievepassword' ) ) ) {
wp_redirect( '/wp-login.php', 301 );
exit;
}
}
}
add_action( 'init','lostpassword_redirect' );
5. 啟用HTTPS
HTTPS為你的站點提供了多一層的防護,而且還能提升你在搜索引擎中的排名?,F(xiàn)在你可以通過 Let’s Encrypt這個項目免費獲得HTTPS證書。對于WordPress網(wǎng)站來說,你可以使用WP Encrypt輕松使用這個證書。我建議你現(xiàn)在就去是用HTTPS。