如何保障WordPress网站的安全系列文章连载( 九)
2018-09-04

不要破解核心

简单明了:不要破解任何WordPress核心文件。在生产现场这样做会导致灾难。插件和主题也是如此 - 不要修改他们的核心文件。相反,如果要更改默认功能,请通过指定的渠道执行此操作,例如:

  • 通过插件修改或自定义核心功能
  • 通过子主题修改或自定义主题外观或功能
  • 通过functions.php更改主题

对于良好的安全性也很重要:通过任何这些方法进行更改时,请确保尽可能使用WP API。

确保正确的文件权限

如果您的服务器配置正确,则应使用适当的权限创建所有WordPress文件和文件夹。一般规则是文件的权限级别应设置为644,文件夹设置为755。当然,并不总是那么简单,各种配置都是可能的。如果经过检查发现文件和文件夹权限不正确(或看起来不太正确),请咨询 WP Codex 并向您的网站主机寻求帮助。

禁用错误显示

在开发过程中,在您网站的前端显示错误是完全正确的。但在制作期间,当您的网站在线时,显示有关错误的信息是一个坏主意。这样做可能会泄露有关您的服务器配置,PHP设置以及任何潜在漏洞的敏感信息。广播这种信息让全世界都看不到是一个好动作。为何冒风险?

相反,一旦开发完成并且您已准备好上线,请花一点时间禁用您网站上的错误显示。通过打开== wp-config.php ==并添加以下行,可以轻松禁用WordPress错误:

define('WP_DEBUG', false);

如果对PHP错误有疑问,请向您的开发人员或Web主机询问更多信息。

相关知识