阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 12318阅读
  • 1回复

[教程]修改 wp-config.php 保护你的 WordPress 网站

级别: 论坛版主
发帖
9349
云币
14165
hd0d gc  
前言 NCR 4n_  
gG*]|>M JI  
wp-config.php 文件是 WordPress 的核心文件,很多人对 wp-config.php 文件的重视程度往往都不高,有时候甚至没有限制好权限,直接把 wp-config.php 文件给暴露了,这都是非常危险的,今天这里就来讲一讲如何通过修改 wp-config.php 来保护你的 WordPress 网站 6[b'60CuZL  
33IJbg  
内容 $a.fQ<,\X  
{Rc mjI7  
n,/eT,48`  
jGy%O3/  
权限 Gmi ^2?Z(  
;\-f7!s  
wp-config.php 文件 WP 官方的建议是给予 0644 权限即可,千万不要再高了! 69/aP=  
m.!n|_}]  
安全密钥 goBl~fqy0  
@pq2Z^SQH  
安全密钥能够有效阻止黑客破解你的密码,一组未经加密的用户和密码,很容易被黑客破解。而如果要破解一组随机生成的,不可预测,经过加密的密码组合,例如 88a7da62429ba6ad3cb3c76a09641fc ,则可能需要好几年的时间。有事没事换一换密钥可以让之前对相关加密内容的破解工作顿时玩完。 5^lFksZ  
使用 WordPress 安全密钥生成器 替换 wp-config.php 对应的位置即可。 OD{()E?1B  
{&7%wZ"t_  
-7-r~zmr  
例如: Xf 0)i  
zNG]v?JAh  
tV.qdy/]}  
  1. define('AUTH_KEY',         '^CV`f!!+iXn&^ 2D}e4,VR$|y(i{+y,j1n{C4gDW G8u&x!pC*K+g9A~=z#Q9G>T');
  2. define('SECURE_AUTH_KEY',  'oWRa +w~wcWlRP! iJP?;E$6ud l%u1+`xUIo}{#w3@O{E[%^~fQ3vlAf()RMO0u');
  3. define('LOGGED_IN_KEY',    'ND>W%IU*Fk*d#tFx&4&*]|/$Fc*~C`o%-k9SX67/Qj>&OsjHLnpWuB>CaZUBj#?=');
  4. define('NONCE_KEY',        '-|hV2t_`+D+jeP3v-R@DrEF<xpd+z3GQ$!P(Uz5fs-QAun+l?UeO*`oo@fwnfsd[');
  5. define('AUTH_SALT',        '1;|D7^g4Fv(:Uugelg{zM@-J/!a|[3&nf4$QIhUxs!NspR*=).0T##!--H[#:FVQ');
  6. define('SECURE_AUTH_SALT', '#D9i+ckeVz5m, ABTGgqD-{o,0wjYeKgg>,cVsi6.kHW E([|b%VE?uj47}B)N13');
  7. define('LOGGED_IN_SALT',   'sVowMmRla7MAB(.hf,!?i#$: 6>FyH9Wqx-Mr7cbmye15rlkf$Q|LvNVek@lLjRB');
  8. define('NONCE_SALT',       'F#=>J5/p!!:DxIPz1t|Ukdkk93`RtI0p23){GE9_$C$WBCCWq16y)*Q)ak|8)L #');
<KY \sb9  
 \EI<1B  
SSL "- 2HKs  
8`g@ )]Iy  
oW ! Z= ;  
互联网发展到现在已经很完备了,现在无论是 SSL 证书的价格还是配置 HTTPS 的成本和难度都已经直线降低了,更何况目前的 http/2 更是将 HTTPS 协议作为重心而不是 HTTP。 @}K|/  
近年来的劫持事件也是频发,如果你不想让己的网站莫名其妙的出现一个不是自己添加的广告、外链的话,还是加密吧!因为全站加密比较适合新站,久一点的网站改动会较大,可以先强制登入页面和后台加密。 2:[ -  
k|uW~ I)  
一、全站加密(推荐) B8Vhl:p  
M$J{clr  
7+]+S`p  
像米饭粑这样的博客,全站 HTTPS 并没有太大的压力,而且 WordPress 对全站 HTTPS 加密也是非常友好的。推荐新的网站能上就上吧,免费证书现在也不少。 I'h|7y\  
dlv1liSXL5  
二、强制登入页面加密 5z/*/F=X  
/FJ.W<hw  
<b.O^_zQF  
在 wp-config.php 中加入下面的代码,即可实现登入页面加密。
  1. define('FORCE_SSL_LOGIN', true);
"%zb>`1s  
YzA6*2  
三、强制后台加密 v 79k{<Ln  
X mb001  
)70i/%}7  
在 wp-config.php 中加入下面的代码,即可实现WP后台的强制加密。 t GS>f>i  
!&(^R<-id  
  1. define('FORCE_SSL_ADMIN', true);
&0`[R*S  
JX)%iJq#  
数据前缀 OUtXu7E$  
D`9a"o  
M7`iAa.}  
WordPress数据库也是所有黑客攻击的目标。通过改变WordPress数据库默认前缀, 是保护数据库一个很好的方法。 E\Qm09Dj`<  
/ biB *Z  
一、新安装的时候就修改(推荐) U0m 5Rc  
%|izt/B  
0Z4o3r[  
新安装 WP 的时候会让你选择修改数据库的前缀,这时候改了就不用太麻烦导致后面还要改。 ?9Hs,J  
H13kNhV9  
二、TSQL 修改 <*Bk.>f!  
< $>Jsv  
|Y tZOQu  
注:因为涉及数据库,会有不可逆的后果,建议先带套备份 huat,zLS  
首先,修改配置文件 wp-config.php 中  “wp_ ”为自定义表前缀,比如:wp_mf8_。 登录 MySQL 数据库,运行以下SQL语句,修改默认表前缀为自定义前缀: 'eYM;\%('  
  1. RENAME table `wp_comments` TO `wp_mf8_comments`;
  2. RENAME table `wp_links` TO `wp_mf8_links`;
  3. RENAME table `wp_options` TO `wp_mf8_options`;
  4. RENAME table `wp_postmeta` TO `wp_mf8_postmeta`;
  5. RENAME table `wp_posts` TO `wp_mf8_posts`;
  6. RENAME table `wp_terms` TO `wp_mf8_terms`;
  7. RENAME table `wp_term_relationships` TO `wp_mf8_term_relationships`;
  8. RENAME table `wp_term_taxonomy` TO `wp_mf8_term_taxonomy`;
  9. RENAME table `wp_usermeta` TO `wp_mf8_usermeta`;
  10. RENAME table `wp_users` TO `wp_mf8_users`;
#S|DoeFs  
# ? _8 *?  
<=Z`]8  
现在需要修改选项和 usermeta 表,让一切工作。 输入以下SQL查询:
  1. SELECT * FROM `wp_mf8_usermeta` WHERE `meta_key` LIKE '%wp_%'
/idrb c  
0!tw)HR%  
X/qLg+X  
禁用插件和主题编辑 ozOvpi:k3%  
o6ag{Yp  
FzzV%  
很多人都喜欢在后台的外观那里直接修改一下主题的一些文件,其实如果开放这个功能是非常危险的,利用这个,攻击者就为攻击者添加恶意代码、病毒和垃圾邮件而打开后门。 i_{b *o_an  
进入:
  1. define('DISALLOW_FILE_EDIT', true);
@,Kl"i;  
5fvY#6;  
[XbNZ6  
转移 wp-config.php 文件 mmvo >F"  
YIn H8Ex  
MO-7y p:K  
因为 wp-config.php 默认就是在根目录的,很多人就直接会对准这个目标已经攻击,因此我们还可以让 wp-config.php 文件搬个家~ c( 8>|^M  
清空 wp-config,php 的内容,加入: ;7*R;/  
  1. <?php
  2. define'ABSPATH', dirname__FILE__ ;
  3. require_onceABSPATH '../path/to/wp-config.php';
#`o]{UfW  
0nsjihw  
这里的 ../path/to/wp-config.php 就是转移 wp-config.php 文件的路径。 6F:< c  
hM "6-60  
xe@11/F  
本文来自:https://www.mf8.biz/wp-config-php-wordpress/ J^gElp  
U'p-Ko#  
级别: 论坛版主
发帖
16048
云币
8344

只看该作者 沙发  发表于: 2016-05-24
楼主的来自网站无法访问。
善用阿里云帮助文档。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)