無論你的網站規模是大或小,丟失站點數據,或是無法管理你自己的站點,都會讓你神經緊繃。 WordPress驅動全世界25%的Web,對駭客來說,WordPress網站是他們最重要的目標之一。
在這篇文章中,我們將會討論一些加強WordPress安全性的小tip。
1. Bcrypt密碼雜湊
WordPress成立於2003年,那時PHP和Web還剛起步。那時Facebook還沒出現,PHP還沒有OOP架構;因此,今天WordPress的安全性已經稍微顯過時,例如其密碼加密的方式。
如今WordPress還在使用MD5雜湊。基本上說,它只是把123456變成這樣:e10adc3949ba59abbe56e057f20f883e。
然而,如今的電腦比10年前要複雜精密的多,因此這樣的密碼可以輕易攻破。
自從5.5版本之後,PHP有了本地的加密方式,如果你的WordPress網站,所使用的PHP版本高於5.5,你可以使用這個功能。
你可以安裝Composer或是MU-Plugins插件,重新儲存你的密碼。
2. 啟用WordPress.com防護
#Brute-force是駭客最常用的密碼破解方式。因此,你需要設定一些非常難猜的密碼。
WordPress.com的母公司Automattic收購了一個非常受歡迎的防brute-force外掛。這個插件的名字叫BruteProtect,它如今已經被整合到Jetpeck裡面了。
事實證明,這個外掛的防護效率非常好。
首先,你需要安裝最新版本的Jetpack,然後將你的網站連接至WordPress.com。之後打開防護模組,將你自己的IP加入白名單。
之後,你的網站就更安全了。
3. 隱藏登入URL
誰都知道,要想登入WordPress後台,你只需要在網域後面加上wp-login.php,不只你知道,駭客也知道。因此,你需要隱藏你的登入URL,讓這個URL只對你開放。
幸運的是,你可以透過一些簡單的外掛程式來實現這個目的:
1) iThemes Security
2) WPS Hide Login
4. 關閉「忘記密碼」
「忘記密碼」功能能讓你透過其他方式找回你的密碼,但是駭客也可以透過這個方式來取得你的密碼。因此,你最好關閉這個功能。
我們需要建立一個新的檔案並且上傳,將其命名為forget-password.php。
首先,我們要更改遺失密碼的URL:
function lostpassword_url() {
return site_url( 'wp-login.php' );
}
add_filter( 'lostpassword_url','lostpassword_url' );移除連結。但是,WordPress本身並不支援這個操作,因此我們需要使用JavaScript。
function lostpassword_elem( $page ) { ?>
<script type="text/javascript">
(function(){
var links = document.querySelectorAll( 'a' );
for (var i = links.length - 1; i >= 0; i--) {
if ( links[i].innerText === "Lost your password?" ) {
links[i].parentNode.removeChild( links[i] );
}
};
}());
</script>
<?php }
add_action( 'login_footer', 'lostpassword_elem' );最後,將「遺失密碼」的URL重定向到登入頁。
function lostpassword_redirect() {
if ( isset( $_GET[ 'action' ] ) ){
if ( in_array( $_GET[ 'action' ], array( 'lostpassword', 'retrievepassword' ) ) ) {
wp_redirect( '/wp-login.php', 301 );
exit;
}
}
}
add_action( 'init','lostpassword_redirect' );
5. 啟用HTTPS
HTTPS為你的網站提供了多一層的防護,而且還能提升你在搜尋引擎中的排名。現在你可以透過 Let’s Encrypt這個專案免費獲得HTTPS證書。
對於WordPress網站來說,你可以使用WP Encrypt輕鬆使用這個憑證。我建議你現在就去用HTTPS。
更多wordpress相關技術文章,請造訪wordpress教學欄位進行學習!
以上是如何提升wordpress的安全性的詳細內容。更多資訊請關注PHP中文網其他相關文章!
