除了为我的博客用户和数据库连接提供安全密码之外,我应该怎么做才能确保我的Linux安装在我的Linux共享服务器上是安全的?
我认为最好的build议在官方的“Hardening WordPress”文档中有很好的解释:
http://codex.wordpress.org/Hardening_WordPress
最后,对于每个应用程序,这些build议都是一样的:
如果你想用默默无闻的方式来提高安全性(不仅可以认为它是一种附加的措施),本文给出了一些想法:
确保您没有将文件权限设置为“chmod 777”,因为有些指南会要求您这样做。 浏览并查看您的Web服务器帐户或组可以写入的任何内容,并确保它们只是您希望被dynamic更新的区域(图像,附件等)。
只能通过SSL连接login。
如果您进入咖啡店并loginhttp://www.yourblog.com/wp-admin/,您的密码将以明文forms发送,任何人都可以轻松看到咖啡店中的networking以及您和服务器。
如果您将博客login页面移至安全服务器,并强制用户使用httpslogin,则https://www.yourblog.com/wp-admin/会将密码发送至服务器。
你可以添加一些PHP代码来这样的wordpress
if(strpos(strtolower($_SERVER['REQUEST_URL']),'wp-admin')===true && $_SERVER['HTTPS']!='ON') { Header("Location: https://www.yourblog.com/wp-admin/") } 或使用.htaccess文件来强制执行SSLlogin,看起来像这样:
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
有些人重命名页面,如wp-admin.php以减less探测。
保护你的/ wp-admin /目录。 locking/ wp-admin /以便只有某些IP地址可以访问该目录。 您可以使用.htaccess文件,您可以直接在/wp-admin/.htaccess中放置该文件。 这可能是这样的:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Access Control” AuthType Basic order deny,allow deny from all # whitelist home IP address allow from 69.148.58.93 # whitelist work IP address allow from 69.148.59.6 allow from 69.148.58.92 # IP while in Kentucky; delete when back allow from 63.144.53.91
玩笑
确保你的WordPress安装是最新的。 跟上RSS并检查更新不less于每周。
如果有更新,请尽早为您开始安装过程,显然不会中断业务,如果这是您使用WP的。
为您的数据库连接使用唯一的用户名/密码。