- 論壇徽章:
- 4
|
在使用wordpress的時候經(jīng)常會遇到一些安全問題讓我們抓狂吧�����,多備份給大家總結幾個具有代表性的安全問題����。一起來看看吧:
1.禁止使用后臺代碼編輯器
危害:heike獲取到管理員密碼時,可以在代碼編輯器里寫入后門代碼��,從而占領我們的服務器�����。
禁止方法: 在 WordPress 根目錄下的wp-config.php新增一行define(DISALLOW_FILE_EDIT, true); 或者修改文件權限: 1 2 chmod544 -R wp-cont
2.禁止使用后臺代碼編輯器
危害:heike獲取到管理員密碼時�����,可以在代碼編輯器里寫入后門代碼��,從而占領我們的服務器���。
禁止方法:
在 WordPress 根目錄下的 wp-config.php新增一行define('DISALLOW_FILE_EDIT', true); 或者修改文件權限: 1 2 chmod544 -R wp-content/themes/ chmod544 -R wp-content/plugins/
3.禁止上傳目錄執(zhí)行權限
危害:heike上傳可執(zhí)行的木馬文件到我們的uploads目錄�����,通過某種方法執(zhí)行木馬文件����,獲取服務器的管理員權限��。
禁止方法:修改文件權限
1 chmod744 -R wp-content/uploads/
.htaccess遭篡改
危害:用戶通過改寫目錄下的.htaccess文件����,可以達到解析a.jpg的時候用php語言解析,這樣木馬代碼就可以執(zhí)行了��。
禁止方法:在目錄下�����,新建.htaccess文件��,修改其權限為 chmod 444 .htaccess,以防被篡改����。不怕麻煩的話,可以在每個目錄下都新建這個文件����,uploads這個文件夾必須有.htaccess文件。
4.數(shù)據(jù)庫遠程鏈接
危害:heike通過某種方法獲取到mysql數(shù)據(jù)庫鏈接密碼����,通過遠程的方式可以鏈接到我們的數(shù)據(jù)庫,可以直接操作數(shù)據(jù)庫�����。
禁止方法:禁止mysql用戶遠程鏈接��。使用grant Alter,Delete,Create,Drop,Execute,Select,Update on dbname . * to 'username'@'localhost' identified by 'password'; 命令來禁止用戶�。
管理員弱密碼
危害:heike通過字典方式,對wordpress進行管理員密碼爆破�,如果設置簡單的密碼,很容易爆破出來�。
禁止方法:使用高強度的密碼,密碼至少10位�,內(nèi)容至少包含數(shù)字,字符���,特殊符號3種�。
5.WordPress版本不升級
危害:wordpress版本升級�����,是因為wordpress出漏洞啦��,所以官方才出補丁來把漏洞補上���,你不升級����,就給了heike可利用的機會����。
禁止方法:升級到wordpress最新版本。
如果大家對wordpress的安全問題還有補充的歡迎留言��。關于數(shù)據(jù)安全�����,刻不容緩!
篇外語:wordpress備份之多少?想要輕松備份,就找多備份!
|
|
免費注冊
發(fā)表于 2015-02-27 16:58