问Wordpress有多安全？

EN

我真的不知道如何定义它有多安全，但是我可以告诉你一些应该帮助你做出决定的事情。

默认情况下，不是安全登录，所以用户名和密码是以明文传递的。大多数人都是这样使用Wordpress的。

尽管如此，从2.6版开始，您可以通过将其添加到wp-config.php中来强制登录在SSL之下：

define('FORCE_SSL_LOGIN', true);

还可以选择为所有管理任务强制使用SSL，方法是：

define('FORCE_SSL_ADMIN', true);

那应该会很好的。而且，无论您使用的版本是什么，您都可以使用mod_rewrite强制SSL进行管理：

RewriteRule ^/wp-admin/(.*) https://myblog.com/wp-admin/$1 [C]

而且，如果您需要SSL部件的不同文件夹：

RewriteRule !^/wp-admin/(.*) - [C]
RewriteRule ^/(.*) http://myblog.com/$1 [QSA,L]

这将迫使wp-admin下的所有内容在SSL下工作，其他一切都将被迫“常规”HTTP。

其他要考虑的事情是MySQL。如果你的博客通过互联网与MySQL沟通，你还有一件事要担心。不过，大多数设置在安全网络中都有MySQL。更好的是，如果MySQL运行在与web服务器相同的机器上，那么您就可以完全不依赖TCP/IP进行通信。

检查您的网站上的http://sucuri.net/，以获得更多的信息，恶意软件，垃圾邮件等..。

1.使用安全插件

我建议使用华兹弗。，它具有许多特性，并且能够做到

• 扫描44k+恶意软件定义
• 检测钓鱼企图
• 删除Sh3lls
• 后门
• 特洛伊人
• 监测器
• DNS安全还有更多..。

更好的WP安全(又名iThemes安全)也是一个很好的插件，可以保护你的WP。也有很好的特点。

(两个插件一起工作-毫无疑问)

WordFence

2.保护您的.htaccess

安全wp-config.php

<Files wp-config.php>
    order allow,deny
    deny from all
    </Files>

禁用目录浏览

# directory browsing
Options All -Indexes

保护.htaccess本身

<files .htaccess="">
order allow,deny
deny from all
</files>

禁用热链接

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?YourDomain [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]

(在互联网上可以找到很多其他的)

3.保护自己

• 使用强密码，不要与任何人共享
• 从社会工程中拯救你自己
• 来自Codex (硬化Wordpress)的提示

4.更新自己。

• 使用更新版本的WordPress，插件，主题。

安装以下四个安全插件：

Limit-login-attempts:限制每个IP的登录尝试速率，包括cookies。

Lockdown-wp-admin:通过隐藏管理仪表板和更改登录页面URL来保护WordPress管理界面。

Wp-math-captcha: Math Captcha是一个100%有效的WordPress，它集成到登录、注册、评论、联系表格7和bbPress中。

Better-wp-security:将猜测从WordPress安全性中删除。iThemes Security提供了30+方式将WordPress锁定在一个易于使用的WordPress安全插件中。