wordpress网站终极防黑手册,全方向维护网站安全

2021-04-20 06:18


wordpress网站终极防黑手册,全方向维护网站安全性(1)


短视頻,自新闻媒体,达人种草1站服务

昨天小V在群中闲谈时发现许多wordpress站长都很不留意网站的信息内容安全性,各种各样系统漏洞、各种各样信息内容泄漏。接下来小V就来教大伙儿为自身的wordpress修补1些普遍的bug,防止网络黑客。
最先是wordpress的全版本号通杀爆肯定相对路径系统漏洞:
1、/wp-includes/registration-functions.php
2、/wp-includes/user.php
3、/wp-admin/admin-functions.php
4、/wp-admin/upgrade-functions.php
要是立即浏览以上文档或浏览当今wordpress网站的主题型录下随意php文档都会爆出网站的肯定相对路径,就连wordpress官方的主题twentytwelve也不列外。
处理方式1、在以上文档的的头顶部

error_reporting(0);

处理方式2、立即改动php.ini屏蔽php出错。(参照:)

维护wordpress后台管理不被立即浏览,避免立即post登陆wordpress后台管理。
早在v7v3刚上线的情况下小v就写过1篇掩藏wordpress后台管理的文章内容《wordpress防黑实例教程之维护登陆文档wp-login.php》此方式只是应用$_GET对wp-login.php做1个浏览的障眼法罢了。实际上细心剖析下wordpress登陆网页页面编码不难发现wordpress是以post的方法来递交登录主要参数的,以下图:

 

也便是说大家能够无需浏览wp-login.php文档,而是立即根据post提交主要参数给wp-login.php来立即登陆网站后台管理,那末以前小V所提到的$_GET对wp-login.php做的浏览限定就形同虚设,那末该怎样来合理的避免wordpress的登陆文档不被立即浏览并且不可以以基本的post方法来登陆网站后台管理呢?

 

第1步:大家登陆后台管理进到到基本选项:在WordPress详细地址(URL)这1栏再加/v7v3以下图:

第2步:大家在网站根文件目录下新建1个名为v7v3的文件目录,随后将除index.php、robots.txt和.htaess以外的全部网站文档挪到v7v3文件目录(登陆变成网站域名/v7v3/wp-login.php)。

 

第3步:开启index.php并将

require('./wp-blog-header.php');

改动为:

require('./v7v3/wp-blog-header.php');

 

这样1来wordpress的后台管理详细地址和登陆post递交主要参数的详细地址都伴随着wordpress系统软件文档的挪动而更改了,再相互配合小V写的$_GET浏览限定方式便可以做到很好的防黑实际效果。

 

本文由wordpress主题实例教程网: 原創,原文详细地址: 转载请注明出处感谢!




扫描二维码分享到微信

在线咨询
联系电话

020-66889888