WordPress のセキュリティ強化、パート 1

それはひどい悪夢です。ある日、Web サイトを開いたら、ハッキングされていたことがわかります。単純な個人ブログを運営している場合、これは単なる迷惑な出来事かもしれません。クライアントの Web サイトをホストしている場合、日々の生活が困難でストレスの多いものになる可能性があります。大量の電子商取引サイトを運営している場合、パニックの原因となる可能性があります。どのような状況であっても、幸せな絵文字を使ってニュースを共有することはありません。したがって、攻撃の発生を防ぐ戦略が必要です。

あなたは正しい場所に来ました。この 2 部構成のミニシリーズでは、WordPress プロジェクトを可能な限り安全にする方法を説明します。

WordPress セキュリティの概要

WordPress は安全だと思いますか? WordPress は安全でないコンテンツ管理システムであると多くの人が考えているので、そうしなくても大丈夫です。しかし、少なくとも今日では、真実からかけ離れたものは何もありません。

Microsoft Windows、Android、Google Chrome、WordPress の共通点は何ですか?どちらも非常に人気のあるソフトウェアであり、常にセキュリティ ホールが発見されています。これらはすべて定期的にバグやセキュリティ上の欠陥に対してパッチが当てられていますが、セキュリティ ホールの存在によって安全ではなくなるのでしょうか?

違う考えだったら申し訳ありませんが、そうではありません。パッチが頻繁に適用されるということは、必ずしもソフトウェアのコーディングがセキュリティ上の脅威に対して不十分であることを意味するわけではありません。開発者とハッカーの間のいたちごっこは今後も続き、ハッカーは常にソフトウェアをクラックする方法を見つけます。ソフトウェアが WordPress のように拡張性がある場合、ハッキングの可能性も高くなります。

ここで重要なのは応答性と先制性であり、それが WordPress が優れている点です。 Google Chrome がセキュリティ ホールを塞ぐまでに数日、Microsoft がセキュリティ修正をリリースするまでに数週間待つ必要がありますが、大規模な WordPress 開発者コミュニティは終了前にゼロデイ セキュリティ ホールにパッチを適用できるでしょう。 2019年の。 1日目。さらに、チーム全体が WordPress コアの保護に専念しているため、それについても十分に対応できます。テーマとプラグインに関しては、バグや欠陥を見つけるのが少し簡単になるかもしれませんが、それらを修正するにはさらに時間がかかるかもしれませんが、コミュニティは開発者のサポートを受けています。

しかし、100%安全なものはありません。私たちは科学者たちが私たちの脳の暗号を解読しようとしている時代に生きています。理解できないものは何もありません 明らかに私たちの脳を含めて 、WordPress も例外ではありません。しかし、100% のセキュリティが不可能だからといって、99.999% のセキュリティを目指してはいけないというわけではありません。

WordPressのセキュリティを向上させる

個人的な経験とさらなる調査に基づいて、まだ行っていない場合に講じるべき安全対策をいくつかまとめました。早速、彼らについて知りましょう!

ファイルを保護.htaccess

簡単に始めましょう。

WordPress Web サイトが Apache を搭載した Web サーバーでホストされており、

設定 で「Pretty Permalinks」を有効にしている場合、WordPress は基本情報 WordPress Permalink description を保存する というファイルを生成します。 Pretty パーマリンクを有効にしない場合、コアは .htaccess 的文件来存储基本信息WordPress 永久链接说明。如果您不启用漂亮的永久链接，核心将不会生成 .htaccess ファイルを生成しませんが、これから説明するヒントは依然として当てはまります。ファイルを自分で作成する必要があるだけです。

ナノヒント: .htaccess 文件，但很难创建一个没有任何名称但带有 .htaccess 扩展名的文件，只需上传一个空文件即可使用任何名称（例如 Untitled.txt ファイルを自分で作成したいが、名前を付けずに

拡張子を付けたファイルを作成するのが難しい場合は、任意の名前の空のファイル (例: Untitled.txt) をアップロードしてください。 FTPクライアントの名前と拡張子を変更します。 <p> <code>htaccess私が最初に考えたのは、

ファイルを保護することでした。これは、これから紹介するヒントやテクニックの中で最も簡単な方法です。次の行をファイルに追加するだけです:

リーリー htaccessこれは、 ファイルにアクセスしようとする人 (または 誰でも

) からファイルを保護する無害なトリックです。

次に、フォルダーの内容の表示を無効にしましょう:

リーリー myblog.com/wp-content/uploads/。通常，他们能够查看上传的文件或浏览 /uploads/ 目录中的子文件夹，但通过这个小技巧，他们将看到来自服务器的 403 Forbiddenこれにより、見知らぬ人がフォルダーの内容にアクセスしたり、

応答したい場合にその内容を見ることができなくなります。

最後に、Perishable Press が提供する素晴らしい「ブラックリスト」、The 5G Blacklist について言及したいと思います。このブラックリストは、有害なクエリ文字列から悪質なユーザー エージェントに至るまで、幅広い悪意のあるアクティビティからサイトを保護します。

htaccess 技巧。现在，让我们继续学习 wp-config.phpこれが

のコツです。さて、wp-config.php のトリックに移りましょう。 🎜

wp-config.php 文件及其内容的安全技巧

就安全性而言，wp-config.php 文件可能是整个 WordPress 安装中最重要的文件。您可以用它做很多事情来强化您的网站。

让我们从一个有趣的技巧开始：您是否知道可以将 wp-config.php 文件放在 WordPress 根目录中的上一级？如果它不会让您感到困惑，请立即执行。大多数时候，我将 WordPress 安装在 public_html 目录中，并且喜欢将 wp-config.php 文件放在用户根目录中。不确定这是否是万金油配方，但至少它感觉更安全。 Stack Exchange 的一些人就这个话题进行了很好的辩论。

顺便说一下，让我们回到根 .htacccess 文件并添加以下行以拒绝访问 wp-config.php 文件：

# protect wpconfig.php
<files wp-config.php>
    order allow,deny
    deny from all
</files>

这是一个有趣的想法：删除编辑主题和插件文件的权限怎么样？所需要做的就是将以下行添加到 wp-config.php 文件中：

define( 'DISALLOW_FILE_EDIT', true );

感觉更加偏执？将以下行粘贴到上面一行下方以完全禁用主题和插件安装和删除：

define( 'DISALLOW_FILE_MODS', true );

关于强化 WordPress 的另外两个技巧：更改数据库前缀，并在 wp-config.php 文件中添加安全密钥（或 salt 密钥）。

第一个很简单：通过查找以下行来检查是否将数据库前缀设置为默认值：

$table_prefix  = 'wp_';

如果它设置为 wp_，您应该将其更改为除此默认值之外的其他值。您无需记住它，因此可以输入任何内容。我喜欢使用 wp_fd884vg_ 这样的组合来保证它的安全性和可读性。

更改安全密钥也非常容易。通过找到以下行来查看键是否为空：

/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

如果他们都说'把你独特的短语放在这里'，这意味着他们还没有设置。在这种情况下，只需转到此 URL（也在代码注释中引用）并使用上面的行更改该页面中生成的行。

Nano-tip：如果您想知道这些“盐密钥”是什么，WPBeginner 有一篇很棒的文章介绍了这种安全措施的好处。

wp-config.php 技巧就到此为止！今天就到此为止吧。

今天总结

我希望您今天喜欢这些 .htaccess 和 wp-config.php 技巧。在这个迷你系列的下一部分中，我们将介绍一些安全插件和其他有关强化 WordPress 的重要技巧。如果您有任何问题或意见，请随时在下面的评论部分中提出。

下一部分见！

以上がWordPress のセキュリティ強化、パート 1の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。