博客

WordPress 优化:11个强化网站安全的 .htaccess 设定技巧

.htaccess 是一个 Apache 下的配置文件,90% 以上的国内虚拟主机都使用本教程。此配置文件可以让你可以控制该路径下的文件及文件夹,以及所有子目录。

对于许多 WordPress 使用者来说,他们第一次看到 .htaccess 文件应该是在自定他们网站的固定网址时。为了使用更美观的链结,而不是预设的链接格式(例如:http://free.com.tw/sample-post/而不是 http://free.com.tw/?p=123 ),我们必须将以下代码加入 .htaccess 文件:

 # BEGIN WordPress
 RewriteEngine On
 RewriteBase /
 RewriteRule ^index\.php$ – [L]
 RewriteCond %{REQUEST_FILENAME} !-f
 RewriteCond %{REQUEST_FILENAME} !-d
 RewriteRule . /index.php [L]
 # END WordPress

如果 .htaccess 不存在,你可以自己建立一个然后将它上传。

你也必须确认你的 .htaccess 文件在服务器上可写入的,WordPress 才能将适当的代码加入你的 .htaccess 。WordPress.org 建议把文件权限设定为 644 。

.htaccess 文件不仅用于固定网址,该文件也能强化网站安全。数以百万的 WordPress 用户利用它来保护网站免于垃圾邮件发送者、黑客和其他已知的威胁。

在本文裡,我会分享一些用于 .htaccess 的代码片段,可以强化你的网站安全。相信你会找到一些对你有帮助的代码。

阅读全文

标准
博客

Apache 或 Nginx 下禁止站点或附件目录运行 PHP 脚本

如果上传目录被植入 PHP 文件,即可远程执行。为了安全起见,我们一般会对上传目录禁止运行 PHP 脚本。

在 Apache 下面我们可以通过一下方法来禁止运行 PHP 脚本:

<Directory /wp-content/uploads>
php_flag engine off
</Directory>

Nginx 方法如下:

location /wp-content/uploads/ {
 location ~ .*\.(php)?$ {
 deny all;
 }
}

阅读全文

标准
博客

WordPress 教程:打造安全 WordPress 的6点建议

网站的安全性在任何时候都是很重要的,特别是在网站经营若干年之后,有了更多的数据,更要保证网站的安全性,使用WordPress搭建的网站更是如此,特别是现在WordPress用户越来越多,使用越来越广泛,所以,被研究,被攻击,也是必然的。

本篇文章里提到的都是在WordPress安装之后的操作。

1,经常备份;

备份的意思,是文件和数据库都要备份,而且也包含附件。备份可以根据各自的特点来操作,比如WordPress的程序,如果不是每天都在修改WordPress的话,只要在每一次修改WordPress程序之后备份一次即可;附件,比如压缩包和图片,如果是存储在主机当中,那建议每周备份一次,毕竟每次备份到其他空间或者本地,是要消耗流量的;如果本身已经存储在第三方的网盘上,那就无需单独备份了;数据库,也每周备份一次即可。

这里推荐一款很好用的WordPress备份插件:BackWPup

WordPress备份的三个原则:

a,备份文件不能保存在相同的空间中;

b,必须是自动备份的;

c,设置备份文件的次数,比如保留最新的5次备份等;

阅读全文

标准