在 Google Reader 裡面看到的一篇文章,提供你 11 個招數以增強 WordPress 的安全防護,雖然提到的只是基本,但對於像我這種不擅於系統安全的我來說,算是個不錯的方式。裡面提到的 11 項,我沒有做的大概只有第2項及第11項吧。但如果你對伺服端有一定的了解,我想有很多項目是可以照自己的方式去做。自己已經瀏覽過這篇文章,這裡我也大概提一下它文章的內容,當然這裡也加入了我自己一點點小小的註解。
原文: 11 Ways To Secure Your WordPress Blog
1).登入加密
主要的目的就是要將你登入時傳送到伺服器的資料加密,以防有心人士利用 Packet Sniffer 這類的東西竊取你的帳號資料。它提供一個簡單的方式,利用現有的 WordPress 插件來達成這個目的。而這個插件名稱叫做 Chap Secure Login。
園丁註解: WordPress 在 2.6 版後就加強了 SSL 連線的設定,升級到 2.6 之後我想直接使用 SSL 可能會比較好,缺點就是設定較為繁瑣。相關討論你可以參照這裡。當然在此之前,你的伺服器端也得先準備好 SSL 相關的設定才行。
2).阻絕暴力登入
主要的目的就是防止入侵者利用不斷嘗試的手段來取得 WordPress 的密碼。這裡提供了使用 Login LockDown 這個插件,讓 WordPress 可以限制任一 IP 來源嘗試登入的次數。
3)建立安全密碼
主要的目的就是防止因為過於簡單的密碼而容易遭人破解,提供安全密碼的產生器網路上很多,而我常用的工具是這個。
4)保護 wp-admin 目錄
這裡提供的是 AskApache Password Protect 這個插件,可以讓人容易的設定 wp-admin 的安全性。但我想不止是 wp-admin,其實 wp-content 跟 wp-includes 在很多安全討論的文章裡也不斷重複著要增加它們的安全性,好在 AskApache Password Protect 看起來都有。
園丁註解: 這個插件我沒有用過,所以不太了解它實際使用的狀況如何。我自己的話是直接拿網路上的範本加以修改自用。
5)移除 WordPress 版本資訊
WordPress 每一個版本都有漏洞,很多佈景主題在 Header 的部份都會加入一段 Meta 來宣告你目前使用的 WordPress 版本。所以如果有心人士想要對你的站台下手,我想這個版本資訊將會是他進行入侵的一個重要的依據。這個部份就建議你最好是把下面這一段從你的佈檔案內移除(一般是寫在 header.php)。
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />
園丁註解: 如果在你的佈景裡找不到上面這一段你可以自行在 functions.php 內加入 remove_action(’wp_head’, ‘wp_generator’); 即可。
6)隱藏 plugins 目錄內的插件清單
漏洞除了來自 WordPress 本身程式以外,外加的插件也可能是造成系統漏洞的一項原因,隱藏的理由就是為了不讓入侵者了解你己加裝的插件清單,以減少他透過某些插件的漏洞去嘗試入侵的手段。這裡的作法是建立一個空白的 index.html 檔案放在 plugins 的目錄內,目的是當透過連到 http://yourwebsite.com/wp-content/plugins 這個目錄時會讀出 index.html 而不是目錄清單。
園丁註解: 直接透過 httpd.conf 加入 -Indexes 應該是比較好的方式。
7)變更預設 admin 名稱
變更 admin 及 database prefix 是在各大安全建議文章裡最常提到的部份,而且我也非常建議這麼做。
園丁註解:如果你沒有安裝像 Change Admin Username 這樣的插件,預設的 admin 名稱是需要直接更改資料庫的欄位。另外 database 預設的 prefix 在安裝時如果沒有變更,則可以利用第九項提到的 WP Security Scan 來完成。
8)更新 WordPress 到最新版本
主要的目的自然就是修正漏洞的關係,這裡我就不加以累述了,不過我都習慣先看完網路上”試用者”的感想我才會升級。
9)時常使安全性掃瞄
WP Security Scan 也是一個插件,它檢測的部份包括有:
- 密碼強度
- 檔案權限
- 資料庫的 prefix
- admin目錄的安全性
- 版本資訊的 Meta
園丁註解: BlogSecurity 也有提供一個類似的掃瞄工具。
10)備份資料庫
不管你是用 mysqldump、phpmyadmin 或是文中提到的 WP-DB-Backup 插件,我想備份應該是最基本的工作吧 … 。
11)訂定使用者權限
這個部份是給一個部落格有多個作者的情況,我自己的部落格是個人使用所以沒有這個困擾,不過它也提到 Role Manager 這個管理插件可以幫助你訂定使用者權限。
發表於: 週二, 九月 16, 2008
標籤: security, wordpress, 安全