- 论坛徽章:
- 4
|
在使用wordpress的时候经常会遇到一些安全问题让我们抓狂吧,多备份给大家总结几个具有代表性的安全问题。一起来看看吧:
1.禁止使用后台代码编辑器
危害:heike获取到管理员密码时,可以在代码编辑器里写入后门代码,从而占领我们的服务器。
禁止方法: 在 WordPress 根目录下的wp-config.php新增一行define(DISALLOW_FILE_EDIT, true); 或者修改文件权限: 1 2 chmod544 -R wp-cont
2.禁止使用后台代码编辑器
危害:heike获取到管理员密码时,可以在代码编辑器里写入后门代码,从而占领我们的服务器。
禁止方法:
在 WordPress 根目录下的 wp-config.php新增一行define('DISALLOW_FILE_EDIT', true); 或者修改文件权限: 1 2 chmod544 -R wp-content/themes/ chmod544 -R wp-content/plugins/
3.禁止上传目录执行权限
危害:heike上传可执行的木马文件到我们的uploads目录,通过某种方法执行木马文件,获取服务器的管理员权限。
禁止方法:修改文件权限
1 chmod744 -R wp-content/uploads/
.htaccess遭篡改
危害:用户通过改写目录下的.htaccess文件,可以达到解析a.jpg的时候用php语言解析,这样木马代码就可以执行了。
禁止方法:在目录下,新建.htaccess文件,修改其权限为 chmod 444 .htaccess,以防被篡改。不怕麻烦的话,可以在每个目录下都新建这个文件,uploads这个文件夹必须有.htaccess文件。
4.数据库远程链接
危害:heike通过某种方法获取到mysql数据库链接密码,通过远程的方式可以链接到我们的数据库,可以直接操作数据库。
禁止方法:禁止mysql用户远程链接。使用grant Alter,Delete,Create,Drop,Execute,Select,Update on dbname . * to 'username'@'localhost' identified by 'password'; 命令来禁止用户。
管理员弱密码
危害:heike通过字典方式,对wordpress进行管理员密码爆破,如果设置简单的密码,很容易爆破出来。
禁止方法:使用高强度的密码,密码至少10位,内容至少包含数字,字符,特殊符号3种。
5.WordPress版本不升级
危害:wordpress版本升级,是因为wordpress出漏洞啦,所以官方才出补丁来把漏洞补上,你不升级,就给了heike可利用的机会。
禁止方法:升级到wordpress最新版本。
如果大家对wordpress的安全问题还有补充的欢迎留言。关于数据安全,刻不容缓!
篇外语:wordpress备份之多少?想要轻松备份,就找多备份!
|
|
免费注册
发表于 2015-02-27 16:58