如何保障WordPress网站的安全系列文章连载(六)
2018-08-30

保持更新

此时也应该钻进每个人的头骨:与最新版本的WordPress保持同步。这样做很简单,具有一键式和自动更新等功能 - 没有任何借口可以阻止更新。这不仅适用于WordPress核心文件,也适用于您网站上安装的所有插件和主题(无论是否有效,最好保持更新)。

除了保持所有软件的最新状态外,明智的做法是关注最新的WP开发新闻,以便了解一般安全性,零日威胁和其他突发问题。

清理流氓文件

良好的安全性涉及尽可能限制责任。保持服务器上松散,未使用的文件不必要地增加了您网站的责任。花一些时间检查您的目录结构并删除任何不需要的文件。为了给你一个更好的主意,你应该删除以下内容:

  • 仅限开发文件(如测试,版本控制等)
  • 未使用(非活动)主题
  • 未使用(非活动)插件
  • 未使用的PHP脚本
  • 未使用的JavaScript文件
  • 敏感信息和/或笔记
  • 任何其他不需要的松散文件

如果必须在服务器上保留此类文件,则应保护它们免受不必要的访问。以下是两种用于保护服务器上任何文件的备用.htaccess技术:

通过mod_rewrite

RewriteRule /filename.ext - [F,L]

通过mod_alias

RedirectMatch 403 /filename.ext

要使用这些技术之一,请更改== filename ==以匹配文件名,并将ext更改为与文件扩展名匹配。然后添加到您网站的根.htaccess文件并上传到您的服务器。通过在浏览器中请求文件进行测试,使用任一方法都应返回“403 - Forbidden”错误。

相关知识