现在的位置: 首页 > 互联网络 > 博客心语 > 正文

求索·通讯:第3期 让你的wordpress更安全的两套方案

2010-08-23 14:05 博客心语 ⁄ 共 2199字 ⁄ 字号 评论 20 条

    wordpress更新速度一直很不错,很多人虽然对其安全有些疑问,不过相对来说wordpress的安全还是比较可靠的。今天来讲两个方法,能让你的WordPress更安全一点点的,有兴趣的尝试把。

 方案一:修改WordPress默认管理员帐户名
 
    个人博客防止被入侵,其最基本的安全措施之一就是更改默认的管理员帐户名。WordPress的默认管理员帐户名是admin,通常我们不愿意去修改它,而这就给了黑客可乘之机。默认管理员帐户名修改之后黑客就很难猜得到,下面就介绍三个简单的修改方法。

注意:在进行以下修改前,请首先备份数据库

1、创建一个新帐户,然后删除admin帐号

创建一个新帐户并赋予所有管理权限,然后设置其昵称。

退出系统,用新帐户登录,删除原有的admin帐户。

:昵称不要跟新的帐号名相同。因为昵称是公开的,比如会显示在评论中(举例,如果你是MR.zhang,管理员帐号可以用zhang-0823,而昵称为MR.zhang)。

2、使用插件

在这里推荐两个插件,可以修改管理员帐户名。

WPVN – Username Changer

Change Admin Username

按照提示,一步步安装即可使用。

3、用phpMyAdmin来修改

如果你用phpMyAdmin来管理数据库,则可按下面的步骤来修改管理员帐户名。而其他数据库管理程序,则稍有区别。

用phpmyadmin打开的你wp数据库,找到wp_users数据表下修改"user_login"、"user_nicename"这两项的值(编辑按钮是个铅笔图案)。更简单的是打开wp_users数据表后,看到是显示值为admin的直接修改成你想要的。 需要注意一下WordPress后台登录是区分大小写的,修改时候千万注意!!!

重新登录和进行验证。

方案二:针对wp-admin目录

关于wp-admin目录的安全性问题,一直有人提出。WordPress安装后,默认的管理目录就是Wp-admin,这让很多人能一下子就能猜解到你的后台登录地址。如何修改这个目录就成了一些新手头疼的事情。下面就此再教你两种方法。 

1、通过在wp-admin目录下写个.htaccess来限制允许访问该目录的IP。
 
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "acess verify"
AuthType Basic
 
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
记得将这个.htaccess文件放在wp-admin目录下,xx那堆改成你所在ip地址即可。如果你是固定IP,这样的修改是最好的。
 
2、直接更改wp-admin目录名
 
修改wp-admin目录,将其换成其他名字,比如“abc”(下面就以这个目录名为例说一下)。
 
首先修改WordPress目录下的.htaccess文件,增加:
 
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} wp-admin/
RewriteCond %{QUERY_STRING}!后面可以设置一个密码
RewriteRule .*\.php [F,L]
RewriteCond %{QUERY_STRING}!与上面的那个密码相同
RewriteRule ^abc/(.*) wp-admin/$1?%{QUERY_STRING}&与上面的那个密码相同[L]
 
这个.htaccess实现禁止访问wp-admin下的所有.php文件,访问qiusuoge.com/abc的话会直接替换成qiusuoge.com/wp-admin下的对应文件。也就是说访问qiusuoge.com/abc与访问wp-admin的结果是一样的,但是访问wp-admin则行不通。
 
这里,也就是完成了wp-admin目录的更名。步骤也比较简单,只需要修改根目录下的.htaccess就可以了。
 
但是如果你死活想访问wp-admin的话,这样来:http://youblogurl/wp-admin?你设置的那个密码。假如你的密码是123,那么http://youblogurl/wp-admin?123 你便可以访问wp-admin目录
 
更名完成,但是会有一些问题需要修改部分文件。因为wp-admin被禁止访问,而部分功能还直接调用wp-admin的.php文件。这导致上传功能将不能使用;自动保存,自定义字段都变成半残废。
 
wp-admin/includes/media.php
wp-includes/script-loader.php
 
将两个文件中的wp-admin全部替换为abc。
 
另外需要修改wp-includes/link-template.php的第470行与500行,将wp-admin换成abc,这样edit链接与comments编辑链接将继续有效。
 
十分重要的提醒:
 
   1. 如果你使用的类似wp-cache等缓存插件,一定要将你的新目录名添加到缓存过滤规则里,不然后台有的地方生成静态将是件很麻烦的事情。
   2. 注意如果升级或者更改了以上的三个文件中的任何一个都需要重新修改。
 
ok~这样就基本完工了。你的WordPress会更加安全,有兴趣的尝试下吧~
【上篇】
【下篇】

目前有 20 条留言    访客:12 条, 博主:8 条

  1. 百度笨 2010年09月09日 11:28 上午  @回复  Δ11楼 回复

    谢谢分享,正好用上,最近垃圾评论比较多

  2. 久久IT博客 2010年09月13日 1:46 下午  @回复  Δ12楼 回复

    不错的主题,就是广告太多`


    • 管理员
      明镜 2010年09月13日 8:13 下午  @回复  ∇地下1层 回复

      呵呵,目前只是为了美观。

给我留言

留言无头像?