日期:2012-04-21  浏览次数:20476 次

如果想要wordpress当做一个cms来使用,那下面的安全配置是必须要看的了。
1、去掉wordpress版本号信息
wp-includes/general-template.php第2204行 $gen = ‘<meta name=”generator” content=”WordPress ‘ . get_bloginfo( ‘version’ ) . ‘” 去掉里面所有版本号信息
2、删除下面文件里面的版本信息
wp-admin/includes/export.php 这里是订阅页面,还要删除wp-includes/general-template.php里面的所有信息,否则一样显示
wp-admin/admin-footer.php <p id=”footer-upgrade”><?php echo $upgrade; ?></p>
3、禁止访问wp-includes文件夹和wp-admin文件夹
apache的用户,可通过.htaccess来实现,其他用户可通过在该文件夹下面建立一个空白html文件,再加上rewrite规则实现。
4、删除掉所有插件的附带信息,避免有心人利用插件漏洞来入侵,最好也禁止访问wp-content下面的plugins文件夹和themes文件夹,方法如上一步。
5、删除后台首页版本号和主题信息
wp-admin/includes/dashboard.php,删除掉下面这段代码
 echo “\n\t”.’<div>’;
 $ct = current_theme_info();

 echo “\n\t<p>”;
 if ( !empty($wp_registered_sidebars) ) {
  $sidebars_widgets = wp_get_sidebars_widgets();
  $num_widgets = 0;
  foreach ( (array) $sidebars_widgets as $k => $v ) {
   if ( ‘wp_inactive_widgets’ == $k )
    continue;
   if ( is_array($v) )
    $num_widgets = $num_widgets + count($v);
  }
  $num = number_format_i18n( $num_widgets );

  $switch_themes = $ct->title;
  if ( current_user_can( ‘switch_themes’) ) {
   echo ‘<a href=”themes.php”>’ . __(‘Change Theme’) . ‘</a>’;
   $switch_themes = ‘<a href=”themes.php”>’ . $switch_themes . ‘</a>’;
  }
  if ( current_user_can( ‘edit_theme_options’ ) ) {
   printf(_n(‘Theme <span>%1$s</span> with <span><a href=”widgets.php”>%2$s Widget</a></span>’, ‘Theme <span>%1$s</span> with <span><a href=”widgets.php”>%2$s Widgets</a></span>’, $num_widgets), $switch_themes, $num);
  } else {
   printf(_n(‘Theme <span>%1$s</span> with <span>%2$s Widget</span>’, ‘Theme <span>%1$s</span> with <span>%2$s Widgets</span>’, $num_widgets), $switch_themes, $num);
  }
 } else {
  if ( current_user_can( ‘switch_themes’ ) ) {
   echo ‘<a href=”themes.php”>’ . __(‘Change Theme’) . ‘</a>’;
   printf( __(‘Theme <span><a href=”themes.php”>%1$s</a></span>’), $ct->title );
  } else {
   printf( __(‘Theme <span>%1$s</span>’), $ct->title );
  }
 }
 echo ‘</p>’;

 update_right_now_message();

 echo “\n\t”.’<br /></div>’;
6、登陆页装上login-lockdown插件,避免暴力破解用户密码,如果开放会员注册功能,请按下面的方法修改登陆页,否则请把根目录下面的wp-login.php改名后,丢到其他你自己知道的文件夹里面,然后修改这个登陆文件相关地址,很简单,一般直接用你的新地址全部替换wp-login.php这个地址差不多了。最后还要修改wp-includes/general-template.php第215行,这里是后台点退出后跳转到的地址,修改成登陆页新地址。
开放会员注册,就要防止其他用户恶意修改密码。在找回密码的页面,要求同时输入用户名和邮箱,这样比较保险。方法如下:

wp-login.php 第391行,多加一行。
 <p>
  <label><?php _e(‘Username’) ?><br />
  <input type=”text” name=”user_login” id=”user_login” value=”" size=”20″ tabindex=”10″ /></label>
 </p>
 <p>