워드 프레스 보안을 개선 하는 방법

보안은 영원한 주제, 특히 인터넷에,이 기사 WordPress에 블로그 보안을 개선 하기 위해 10 팁을 소개 합니다.

1. 오류 메시지를 제거 합니다.

우리 WordPress 배경 실패에 로그인 할 때 오류 메시지가 표시 됩니다. 귀하의 블로그를 공격 하고자 하는 경우 오류 메시지에서 많은 유용한 정보를 얻을 하 고 우리가 해야 할 것은 어떤 정보가 표시 되지.

해결: functions.php 파일을 열고 다음 코드를 추가:

Add_filter ('Login_errors', create_function ('$a', "null; 반환"));

이 코드는 반환 된 오류 메시지를 비워 둡니다 수 있습니다.

2. SSL을 사용 합니다.

데이터 공개 또는 차단에 대 한 우려 인 경우 SSL 연결 방법을 사용 합니다. 그러나, SSL을 지 원하는 블로그 호스트 확인 하기 전에, 하시기 바랍니다 지원 되지 않으면이 섹션을 건너뛰고.

해결 방법 다음 코드를 추가 하려면 (일반적으로 루트 디렉토리)에 wp-config.php 파일을 엽니다.:

정의 ('Force_ssl_admin', true);

True로 Force_ssl_admin 상수 값 집합을 정의 했습니다. 이 WordPress에 SSL을 엽니다.

3. 구성 파일을 보호 합니다. htaccess로.

WordPress 사용자 wp-config.php 파일의 중요성을 알고, 그것은 모든 구성 정보: 사용자 이름, 암호 및 등등. 그래서 wp-config.php에 대 한 액세스를 제어 하는 것은 특히 필요한 된다.

해결 방법: 백업 합니다. htaccess 파일을 하기 전에, 그것을 수정 및 다음 열고 다음 코드를 붙여 넣습니다:

< wp-config.php 파일 >
허용, 거부
모두 로부터 거부
< / 파일 >

수정 후 wp-config.php 파일에 대 한 모든 액세스를 거부 됩니다.

4. 액세스 블랙 리스트를 설정 합니다.

당신은 종종 일부 스패머에 의해 방해? 그렇다면은 그래서 그들은 더 이상 귀하의 블로그에 액세스할 수 없는 그들의 IP를 차단 하는 것을 이다 당신이 필요가 있는 무엇을 할.

해결 방법: 수정 된. htaccess 파일을 다음 코드를 추가 하 고 미리 백업 하는 것을 잊지 마세요.

< 제한 받을 게시물 넣어 >
허용, 거부
모두에서 허용
123.456.789에서 거부
93.121.788에서 거부
223.956.789에서 거부
128.456.780에서 거부
</제한 >

위의 IP 변경 후 제한 된 액세스 됩니다.

5. 스크립트 삽입을 방지 합니다.

스크립트 삽입은 자주 사용자 정보를 사용 하 고 대부분의 경우에 성공 하면 공격자 피해 복구 어렵습니다.

해결 방법: 아직도. htaccess 파일 미리 백업 하는 다음 코드를 추가 합니다.

옵션 + followsymlinks
에 Rewriteengine
Rewritecond % {질의} (\ < | %3c). * script.* (\ > | %3e) [Nc, 또는]
Rewritecond % {질의} GLOBALS (= | \ [| \ %[0-9a-z]{0,2}) [OR]
% {질의} _request Rewritecond (= | \ [| \ %[0-9a-z]{0,2})
Rewriterule ^ (. *) $ index.php [f, l]

수정 후 모든 요청 대체 스크립트 세그먼트를 확인 하 고 포함, 403 오류와 함께 요청이 거부 됩니다.

6. 그림 hotlinking을 방지 합니다.

가상 호스트와 VPS의 대부분은 제한 된 트래픽, 그리고 사진을 소통량의 대부분을 소비 하는 경향이. 우리의 기사를 더 많은 사람들이 방문 하 고 우리 사진 링크의 거 대 한 흐름을 직면 하는 동시에 전파 하겠습니다. 그래서 그것이 그림 체인 밖에 되지 않도록 방지 하기 위해 절대적으로 필요 합니다.

해결 방법: 수정 된. htaccess로 파일을 백업 해야 하는 전에 다음 코드를 추가.

에 Rewriteengine
#Replace? Mysite\.com/with 귀하의 블로그 URL
Rewritecond%{http_referer}!^http:// (. + \.)? mysite\.com/[NC]
Rewritecond % {http_referer}! ^ $
#Replace/images/nohotlink.jpg와 함께 당신의 "돈 ' t hotlink" 이미지 URL
Rewriterule * \. (jpe? g | gif | bmp | png) $/images/nohotlink.jpg [L]

수정 완료 되 면 귀하의 사이트, 그림을 참조할 수 있습니다 그리고 다른 외부 참조 Nohotlink.jpg 파일 대체 됩니다. nohotlink.jpg에서 저작권 정보를 표시할 수 있습니다. 물론 당신은 존재 하지 않는 파일을 바꿀 것인지 지정할 수도 있습니다.

7. 악의적인 요청을 차단 하는 플러그인을 만듭니다.

해커가 자주 워드 프레스 자체는 상대적으로 완벽 한 보호 메커니즘을가지고 있지만 그것은 개선의 여지가 있지만, 공격 하는 데 사용 하는 블로그의 약한 포인트를 복구 하 악성 쿼리를 사용 합니다.

해결: 다음 코드를 붙여 및 blockbadqueries.php로 저장 하는 텍스트 파일을 만듭니다. 플러그인 여 배경으로 블로그 Wp-콘텐츠/플러그인 폴더에 업로드.

<? php
/*
플러그인 이름: 블록 나쁜 쿼리
플러그인 uri:http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
설명: WordPress 악의적인 URL 요청에 대 한 보호
작성자 uri:http://perishablepress.com/
저자: 부패 보도
버전: 1.0
*/

글로벌 $user _id;

경우 ($user _id) 없음
만약 (! current_user_can ('level_10')) 없음
경우 (strlen ($_server [' Request_uri ')) > 255 | |
Strpos ($_server [' Request_uri '), "eval (') | |
Strpos ($_server [' Request_uri '), "CONCAT") | |
Strpos ($_server [' Request_uri '), "연합 + 선택") | |
Strpos ($_server ['Request_uri', "base64")) 없음
@header ("http/1.1 414 요청 uri 너무 깁니다");
@header ("상태: 414 요청 uri 너무 깁니다");
@header ("연결: 닫기");
@exit;
}
}
}
? >

너무 긴 요청 (이상 255 자) 또는 URI에 PHP 함수 이면 414 오류가 반환 됩니다.

8. 당신의 WordPress 버전 번호 삭제, 기억!

WordPress 헤더 파일에 버전 번호를 표시 합니다. 귀하의 버전 번호를 자주 걸릴 훨씬 덜 우회, 그래서 왜 그들 게 하기 위하여 버전 번호를 숨길 수 의미 공격자에 게?

FIX: 저장 functions.php 파일에 다음 코드를 붙여 하 고 귀하의 블로그를 새로 고칩니다.

Remove_action ('Wp_head', 'wp_generator');

지금 봐, 아무 버전 번호가입니다.

9. 관리자의 기본 이름을 수정 합니다.

브 루트 포스 공격 한 암호가 균열 하는 가장 쉬운 방법 중 하나입니다. 방법은 간단 하다: 가능한 많은 다른 암호를 시도 하십시오. 만약 그들이 사용자 이름, 그들은 단지 암호를 해킹 해야 합니다. 그래서는 기본 관리자 사용자 이름-"admin" 변경 해야 합니다. WordPress의 3.0 버전은 게 원하는 기본 사용자를 선택할 수 있습니다 note 하시기 바랍니다. 그러나이 메서드는 여전히 이전 버전 3.0의 맞는.

해결 방법: 다음 SQL 문을, "당신의 새로운 사용자 이름" 수정 하려면 사용자 이름에 대 한 실행 하는 데이터베이스를 엽니다.

업데이트 wp_users 설정된 user_login ' 당신의 새로운 사용자 이름 ' = 어디 user_login = '관리자';

수정 후 새로운 관리자 이름 로그인.

10. 디렉터리 검색 하는 것을 방지 합니다.

기본적으로 대부분의 호스트 디렉터리 목록 허용. 따라서, 브라우저의 주소 표시줄에 www.yourblog.com/wp-includes를 입력 하면 해당 디렉터리의 모든 파일 표시 됩니다. 이것이 의심할 여 지 없이 보안 위험 해커 마지막으로 수정 된 파일을 볼 수 있기 때문에 그들을 액세스입니다.

해결 방법: 수정 된. htaccess로 파일을 백업 해야 하는 전에 다음 코드를 추가.

옵션-색인

참고 변경 내용이 이러한 파일에 대 한 사용자의 정상적인 액세스에는 영향을 미치지 않습니다.

출처: http://www.littlear.com/post/2010/07/0270/