WordPress博客部署后的安全设置工作

WordPress博客部署后的安全设置工作

部署了自己的WordPress博客后就可以做个愉快的博主了么?

你的博客数据安全么?来看看这些安全配置你都做了哪些吧。

关闭Server(apache2、nginx)目录浏览功能

# apache2 修改 httpd.conf配置文件(去掉Index)
# /etc/httpd/conf/httpd.conf
Options Indexes FollowSymLinks
修改为:
Options FollowSymLinks

重启apache服务

vi /etc/nginx/nginx.conf

寻找`autoindex on;` 使用#号注释掉即可

# autoindex on;

重启nginx服务。 
如果没有找到默认就是关闭了目录浏览服务。

关闭xmlrpc.php功能(防止密码暴力破解攻击)

WordPress提供了XML-RPC接口使得第三方的博客写作软件(如windows live writer等)可以与之通信来发布和修改博客。我们也可以在网站上使用这个接口做一些工作,例如:在网站首页显示最新的博客、在博客之外的页面上发表博客文章、把博客与其他内容管理系统结合,等等。

关闭最简单的方法就是取消xmlrpc.php文件的读权限:

chmod -r xmlrpc.php

简单吧,根本不需要任何插件。

更加合理的使用方法是配置.htaccess文件:

# Block WordPress xmlrpc.php requests

order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx

如果你只允许1.2.3.4地址访问,那就将xxx.xxx.xxx.xxx替换成1.2.3.4就可以了。

设置robots.txt文件

限制爬虫访问


User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-content/plugins
Disallow: /wp-content/themes
Disallow: /feed
转载本文时请注明出处及本文链接地址WordPress博客部署后的安全设置工作

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注