WordPress 安全清單
1. 防止目錄存取:
防止進入所有目錄,把以下程式碼加入 .htaccess 檔案裡。
# 防止目錄瀏覽
Options All -Indexes
2. 監測網站效能:
利用 P3 – Plugin Performance Profiler 外掛來取得你的網站效能報告。
3. 刪除安裝和升級檔案:
刪除 /wp-admin/install.php 和 /wp-admin/upgrade.php 在每次 WordPress 安裝或升級後。
4. 限制可疑的登入嘗試:
透過 Limit Login Attempts 或 Login Lockdown 外掛來限制登入嘗試次數,把有問題的登入拒於門外。(編按:Jetpack 內建的「保護」功能可以善加運用)
5. 使用 iThemes Security:
我們強烈建議你使用最全面的安全外掛—iThemes Security,因為它是免費的,而且能發現已知的所有安全問題。
6. 保護你的 wp-config.php 檔案:
正如 wp-config.php 檔案包含了你的網站所有保密細節,不惜一切保護它是非常重要的。一個簡單的方法來保護這個檔案,只要把下面程式碼加入伺服器的 .htaccess 檔案。
order allow,deny
deny from all
7. 停用佈景主題和外掛編輯器:
如果你想從控制台內停用編輯器鏈結,你可以把以下程式碼加入 wp-config.php,其他人就無法在控制台內直接編輯佈景主題 。
define( 'DISALLOW_FILE_EDIT', true);
8. 隱藏你的 WordPress 版本:
把你當前使用的 WordPress 版本隱藏起來是非常重要的。將以下程式碼加入你的 functions.php 檔案裡。
function remove_version() {
return '';
}
add_filter('the_generator', 'remove_version');
9. 隱藏登入錯誤訊息:
登入錯誤訊息可能會暴露你的網站,使駭客得到更多關於帳號密碼正確、錯誤的資訊,反之亦然。隱藏登入錯誤訊息是明智的選擇,只要把以下程式碼加入 functions.php 。
function wrong_login() {
return 'Wrong username or password.';
}
add_filter('login_errors', 'wrong_login');