在您的服务器上安装 SSL 证书并通过 HTTPS 访问
Posted: Sun Jan 26, 2025 8:06 am
为您的 WordPress启用SSL 证书将防止浏览器和 Web 服务器之间共享的信息被第三方更改或干预。
通过拥有 SSL 证书,您的网站将成为通过安全连接 (HTTPS) 访问的更安全的网站。
您可以从另一篇文章中找到更多信息,其中我解释了为什么Google 和 Firefox 将您的网站标记为“不安全”,因为无法通过 HTTPS 访问。
启用防火墙系统
在您的计算机和 Web 服务器上安装防火墙是防止未经授权的访问和保护网页数据的关键。
您的计算机有多种类型的防火墙,因此,如果您的操作系统默认情况下没有配备有竞争力的防火墙,请安装一种能够提供针对黑客和计算机黑客的安全保护的防火墙。一个非常有趣且免费的防火墙是Zone Alarm Free Firewall。
要在您的 WordPress 页面上安装防火墙系统,您将不可避免地不得不求助于“重型”插件。没有 英国电邮清单 其他选择。在所有 WordPress 防火墙插件中,我最喜欢的一个是All In One WP Security & Firewall ,因为它极大地尊重了 Web 服务器的资源,并且几乎不会减慢网站的加载速度。
通过 wp-config.php 和 header.php 实现基本 WordPress 安全
通过wp-config.php和header.php保护 WordPress,无需插件
替换wp-config.php文件
wp-config.php文件位于 Web 服务器的根目录中,可能是整个 WordPress 网站上最重要的文件,因为它存储与访问数据库相关的所有内容;它包含您的用户名信息、密码和数据库名称。
这就是为什么强烈建议在安装或配置 WordPress 后将其移动到文件夹中,以防止入侵者找到它,这是在不使用插件的情况下保护 WordPress 的关键。
不显示错误报告
错误消息对于入侵者可能很有用,因为它们标记了攻击您网站的路线,甚至从您的网络服务器获取信息,因此不要显示它们!
禁用错误消息非常简单,只需将此代码添加到您的wp-config.php文件中(最好在启动时):
错误报告(0);
@ini_set('显示错误', 0);
创建新的密钥
当您安装 WordPress 时,会在您的wp-config.php文件中创建四个默认的“秘密”密钥。
这些密钥可能不是那么秘密,因为它们是 WordPress 默认密钥,所以黑客更容易猜测。事实上,您会对这些犯罪分子花费大量时间试图猜测这些密钥并在互联网上完善他们的犯罪技巧感到惊讶。
您必须使用我上面推荐的密码生成工具创建新密码并将其复制到wp-config.php文件中。
不要留下对您的 WordPress 主题的引用
第三方对您所使用的 WordPress 主题的了解越少越好。
如果黑客知道您使用的主题,他就更容易检测您的网站可能存在的安全问题并设计出攻击您的方法。
如何从 WordPress 主题中删除引用?在 header.php 文件中,删除以下代码片段:
<元名称=»生成器»内容=»WordPress» />
通过functions.php进行高级WordPress保护
什么是functions.php文件?
Functions.php是WordPress中的主题函数文件;用于建立操作、函数、注册样式、定义过滤器和添加将在其他模板中使用的类等的模板。
使用此文件,您只需包含一些简单的代码片段即可为 WordPress 添加更多安全性。
通过在functions.php中包含一些代码,我们解决了WordPress默认出现的一些安全问题。
可以包含哪些片段?用于在 WordPress 中隐藏详细信息、安全加载脚本、修改使用无效密码或用户名登录时的错误消息的代码片段。
隐藏您使用的 WordPress 版本
您正在使用的 WordPress 版本默认显示在您网站的 HTML 标头中。
尽管显示此信息似乎无害,但众所周知,许多黑客利用此信息来发现安全漏洞并最终访问您网站的编程。发生这种情况是因为,通过了解每个版本的安全漏洞是什么,他们很容易利用它们。
通过将以下代码添加到您的functions.php文件中,删除此数据非常容易:
删除操作('wp_head','wp_generator');
顺便说一句,还要确保删除readme.html文件。
通过拥有 SSL 证书,您的网站将成为通过安全连接 (HTTPS) 访问的更安全的网站。
您可以从另一篇文章中找到更多信息,其中我解释了为什么Google 和 Firefox 将您的网站标记为“不安全”,因为无法通过 HTTPS 访问。
启用防火墙系统
在您的计算机和 Web 服务器上安装防火墙是防止未经授权的访问和保护网页数据的关键。
您的计算机有多种类型的防火墙,因此,如果您的操作系统默认情况下没有配备有竞争力的防火墙,请安装一种能够提供针对黑客和计算机黑客的安全保护的防火墙。一个非常有趣且免费的防火墙是Zone Alarm Free Firewall。
要在您的 WordPress 页面上安装防火墙系统,您将不可避免地不得不求助于“重型”插件。没有 英国电邮清单 其他选择。在所有 WordPress 防火墙插件中,我最喜欢的一个是All In One WP Security & Firewall ,因为它极大地尊重了 Web 服务器的资源,并且几乎不会减慢网站的加载速度。
通过 wp-config.php 和 header.php 实现基本 WordPress 安全
通过wp-config.php和header.php保护 WordPress,无需插件
替换wp-config.php文件
wp-config.php文件位于 Web 服务器的根目录中,可能是整个 WordPress 网站上最重要的文件,因为它存储与访问数据库相关的所有内容;它包含您的用户名信息、密码和数据库名称。
这就是为什么强烈建议在安装或配置 WordPress 后将其移动到文件夹中,以防止入侵者找到它,这是在不使用插件的情况下保护 WordPress 的关键。
不显示错误报告
错误消息对于入侵者可能很有用,因为它们标记了攻击您网站的路线,甚至从您的网络服务器获取信息,因此不要显示它们!
禁用错误消息非常简单,只需将此代码添加到您的wp-config.php文件中(最好在启动时):
错误报告(0);
@ini_set('显示错误', 0);
创建新的密钥
当您安装 WordPress 时,会在您的wp-config.php文件中创建四个默认的“秘密”密钥。
这些密钥可能不是那么秘密,因为它们是 WordPress 默认密钥,所以黑客更容易猜测。事实上,您会对这些犯罪分子花费大量时间试图猜测这些密钥并在互联网上完善他们的犯罪技巧感到惊讶。
您必须使用我上面推荐的密码生成工具创建新密码并将其复制到wp-config.php文件中。
不要留下对您的 WordPress 主题的引用
第三方对您所使用的 WordPress 主题的了解越少越好。
如果黑客知道您使用的主题,他就更容易检测您的网站可能存在的安全问题并设计出攻击您的方法。
如何从 WordPress 主题中删除引用?在 header.php 文件中,删除以下代码片段:
<元名称=»生成器»内容=»WordPress» />
通过functions.php进行高级WordPress保护
什么是functions.php文件?
Functions.php是WordPress中的主题函数文件;用于建立操作、函数、注册样式、定义过滤器和添加将在其他模板中使用的类等的模板。
使用此文件,您只需包含一些简单的代码片段即可为 WordPress 添加更多安全性。
通过在functions.php中包含一些代码,我们解决了WordPress默认出现的一些安全问题。
可以包含哪些片段?用于在 WordPress 中隐藏详细信息、安全加载脚本、修改使用无效密码或用户名登录时的错误消息的代码片段。
隐藏您使用的 WordPress 版本
您正在使用的 WordPress 版本默认显示在您网站的 HTML 标头中。
尽管显示此信息似乎无害,但众所周知,许多黑客利用此信息来发现安全漏洞并最终访问您网站的编程。发生这种情况是因为,通过了解每个版本的安全漏洞是什么,他们很容易利用它们。
通过将以下代码添加到您的functions.php文件中,删除此数据非常容易:
删除操作('wp_head','wp_generator');
顺便说一句,还要确保删除readme.html文件。