wordpress网站安全的建议和优化
移除登录页面里的错误信息在你的主题的 functions.php 文件里添加一行代码,来移除登录错误信息。这样,黑客要进行暴力破解的时候,就不知道是用户名错了,还是密码错了。 add_filter('login_errors',create_function('$a',"return null;")); 保护 wp-config.php 文件wp-config.php 文件里包含的有 WordPress 数据库的重要信息,如果该文件被暴露,再强壮的数据库密码也没有用。 因此,我们可以加一段代码,在 .htaccess 文件里,来保护 wp-config.php 文件: # 保护 wp-config.php 文件 Order allow,deny Deny from All 利用.htaccess拒绝spam机器人评论大多数Spam根本不会去添写评论表单,而是直接读取Wordpress程序核心文件wp-comments-post.php(评论)实现自动留言,所以很多评论安全机制图片验证、小学加减法、滑动解锁等防垃圾评并不起作用。 将下面代码添加到网站根目录的.htaccess文件中即可,把域名511yj.com修改为你的网址。 # BEGIN 屏蔽垃圾留言:屏蔽空referrer留言 RewriteEngine On RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .wp-comments-post.php* RewriteCond %{HTTP_REFERER} !.*511yj.com* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L] # END 屏蔽垃圾留言:屏蔽空referrer留言 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |