wordpress安全设置文章-PHP教程-爱易网页

wordpress安全设置文章

日期：2012-04-21　浏览次数：20481 次

如果想要wordpress当做一个cms来使用，那下面的安全配置是必须要看的了。
1、去掉wordpress版本号信息
wp-includes/general-template.php第2204行 $gen = ‘<meta name=”generator” content=”WordPress ‘ . get_bloginfo( ‘version’ ) . ‘” 去掉里面所有版本号信息
2、删除下面文件里面的版本信息
wp-admin/includes/export.php 这里是订阅页面，还要删除wp-includes/general-template.php里面的所有信息，否则一样显示
wp-admin/admin-footer.php <?php echo $upgrade; ?>
3、禁止访问wp-includes文件夹和wp-admin文件夹
apache的用户，可通过.htaccess来实现，其他用户可通过在该文件夹下面建立一个空白html文件，再加上rewrite规则实现。
4、删除掉所有插件的附带信息，避免有心人利用插件漏洞来入侵，最好也禁止访问wp-content下面的plugins文件夹和themes文件夹，方法如上一步。
5、删除后台首页版本号和主题信息
wp-admin/includes/dashboard.php，删除掉下面这段代码
echo “\n\t”.’<div>’;
$ct = current_theme_info();

echo “\n\t”;
if ( !empty($wp_registered_sidebars) ) {
 $sidebars_widgets = wp_get_sidebars_widgets();
 $num_widgets = 0;
 foreach ( (array) $sidebars_widgets as $k => $v ) {
 if ( ‘wp_inactive_widgets’ == $k )
 continue;
 if ( is_array($v) )
 $num_widgets = $num_widgets + count($v);
 }
 $num = number_format_i18n( $num_widgets );

$switch_themes = $ct->title;
 if ( current_user_can( ‘switch_themes’) ) {
 echo ‘<a href=”themes.php”>’ . __(‘Change Theme’) . ‘</a>’;
 $switch_themes = ‘<a href=”themes.php”>’ . $switch_themes . ‘</a>’;
 }
 if ( current_user_can( ‘edit_theme_options’ ) ) {
 printf(_n(‘Theme %1$s with <a href=”widgets.php”>%2$s Widget</a>’, ‘Theme %1$s with <a href=”widgets.php”>%2$s Widgets</a>’, $num_widgets), $switch_themes, $num);
 } else {
 printf(_n(‘Theme %1$s with %2$s Widget’, ‘Theme %1$s with %2$s Widgets’, $num_widgets), $switch_themes, $num);
 }
} else {
 if ( current_user_can( ‘switch_themes’ ) ) {
 echo ‘<a href=”themes.php”>’ . __(‘Change Theme’) . ‘</a>’;
 printf( __(‘Theme <a href=”themes.php”>%1$s</a>’), $ct->title );
 } else {
 printf( __(‘Theme %1$s’), $ct->title );
 }
}
echo ‘’;

update_right_now_message();

echo “\n\t”.’ </div>’;
6、登陆页装上login-lockdown插件，避免暴力破解用户密码，如果开放会员注册功能，请按下面的方法修改登陆页，否则请把根目录下面的wp-login.php改名后，丢到其他你自己知道的文件夹里面，然后修改这个登陆文件相关地址，很简单，一般直接用你的新地址全部替换wp-login.php这个地址差不多了。最后还要修改wp-includes/general-template.php第215行，这里是后台点退出后跳转到的地址，修改成登陆页新地址。
开放会员注册，就要防止其他用户恶意修改密码。在找回密码的页面，要求同时输入用户名和邮箱，这样比较保险。方法如下：

wp-login.php 第391行，多加一行。

<label><?php _e(‘Username’) ?> 
<input type=”text” name=”user_login” id=”user_login” value=”" size=”20″ tabindex=”10″ /></label>

免责声明： 本文仅代表作者个人观点，与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

wordpress安全设置文章

相关资料更多>

推荐阅读更多>