使用過wordpress架設網站的朋友相信經常受到不速之客的打擾,例如亂留Comments,更甚者受到黑客的入侵。很多時是這CMS軟體的漏洞,而今天我們就介紹5個提升WordPress 網站安全性的小技巧讓各位參考,將wordpress受攻擊的機會降低。
1. 將WordPress 資料表前綴重新命名
如果你使用預設選項來安裝 WordPress 的話,你的 WordPress 資料表應該會像是 wp_posts 。將資料表的前綴(wp_)更改為其他隨機值,能使黑客無法容易改動資料庫內的資料,而外掛 Change DB Prefix 可以讓你快速重新命名你的資料表前綴。
3 防止使用者瀏覽 WordPress 目錄結構
開啟 WordPress 根目錄底下的 .htaccess 檔案,然後在最上方加入這行。
Options -Indexes
這能夠防止其他人在能建立檔案清單時看到你資料夾內的所有檔案。
4. 追蹤 WordPress 伺服器登入動態
可以在 Linux 下使用 “last -i” 指令來列出所有登入 WordPress 伺服器的使用者,包括他們的 IP 位址。如果你發現清單內有未知的 IP 來源,那必需修改密碼。
同時,下面的指令將顯示較長時間區間的登入動態,並使用 IP 位址分組(將 USERNAME 改為你的使用者名稱)。能取得更多登入動態資訊。
last -if /var/log/wtmp.1 | grep USERNAME | awk '{print $3}' | sort | uniq -c
4 使用個人 Email 作為登入帳號
安裝完一個 WordPress 網站時,預設用戶名通常為 “admin”。建議將預設使用者 “admin” 刪除並建立難以被猜中的使用者名稱,或是使用你的 Email 來登入 WordPress,外掛 WP-Email Login 可以加入此支援,使用你的 Email 取代帳號登入。
5.提高 WordPress 登入頁面安全性
你的 WordPress 登入頁面是每個人都可以存取的,但如果你想防止未授權的使用者登入 WordPress,你有以下2種選擇。
- 使用 .htaccess 加入密碼保護 – 在 WordPress 認證以外加入另一道帳號密碼來保護你的 wp-admin 目錄。
- Google Authenticator – 這出色的外掛能為你的 WordPress 加入兩步驟驗證功能。除了輸入正確的密碼外,還必須搭配手機應用程式來輸入隨機產生的驗證碼。