Matt Cutts這位部落客寫了一篇Three tips to protect your WordPress installation的文章,對於WordPress的使用者來說,多多少少有某種程度的幫助,在這裡提出來跟大家分享。文章中提到三個簡單的方法,來保護自己的WordPress,避免當有心人想要破壞時,可以提供一些有效的防禦。
1. 對/wp-admin/這個管理資料夾設定權限,只允許特定IP的人可以使用,他的方法就是在/wp-admin/資料夾下建立一個.htaccess檔。
/wp-admin/.htaccess 範例如下:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
# 允許連線的 IP address 住家
allow from 111.222.333.444
# 允許連線的 IP address 辦公室
allow from 555.666.777.888
allow from 555.666.777.889
# 允許連線的 IP 出差或臨時性質,返回後記的刪除
allow from 666.777.888.999
2. 在/wp-content/plugins/資料夾下建立一個空的index.html檔,目的是為了讓你安裝外掛程式的資料夾避免因為沒有index檔,而將所有的外掛程式列出來呈現在網頁上,讓有心人士發現外掛程式上的漏洞進行攻擊。
3. 留意WordPress Development blog發佈的任何安全性的消息,盡可能的在最快的時間內完成程式的修補與升級,也避免自己暴露在有心人士利用程式漏洞進行攻擊的狀況下。
文章最後還提到要將header.php檔案裡的WordPress資訊隱藏,以避免因為WordPress版本過舊讓有心人士發現遭到攻擊。
以上就是Three tips to protect your WordPress installation這篇文章大概說明,幾個簡單的提示可以提醒大家對於個人WordPress的防護,有興趣可以前往瀏覽,並看看其他作者有關WordPress安全防護的相關文章。
(註)上文提到的111.222.333.444,555.666.777.888,555.666.777.889,666.777.888.999等IP是範例,請勿直接使用。