网站制作之保护WordPress的一些方法技巧

WordPress已成为世界上最受欢迎的CMS。因为它是如此受欢迎，如果您将其用于您的网站，这更是增强WordPress安全性的一个原因。大多数人都了解如何使自己的网页本身安全，但是如果您不通过限制对重要文件和文件夹的访问来关注WordPress网站的安全性，那么您仍然面临风险。为此，您不会对WordPress本身进行任何更改，而是更改WordPress在服务器上运行以及访问用户对其文件的访问量。

步骤1：限制访问WP-INCLUDES文件夹

WordPress网站由一系列文件和文件夹组成，每个文件和文件夹都有自己独特的URL，这意味着如果有人输入正确的URL，他们可以访问或更改运行您的站点的敏感文件。这种黑客最常见的目标之一是wp-includes文件夹，因此我们将为服务器配置文件添加一些附加代码，以加强安全性并防止这些威胁。完成此操作后，任何尝试访问这些文件的用户都将被重定向回退。

要开始，您将需要为您的网站打开.htaccess文件。您可以通过任何文本编辑器执行此操作，无关紧要，因为我们正在做的是向文件添加一小段代码。您会注意到该文件已经由WordPress生成的代码。在代码的早期代码之一，你会发现一条线# BEGIN WordPress。直接在这段代码之上，我们将添加额外的代码行，这将通过限制对wp-includes文件夹的访问来强化站点的防御。

# Blocking web access to the wp-includes folder
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+/.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+/.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

之后，您只需要将文件重新上传到服务器即可完成。虽然这里的变化似乎很小，但可能会对您的网站的防御产生很大的影响。由于WordPress的许多高级功能都位于wp-includes文件夹中，因此它们是黑客的主要目标。执行这些更改后，当用户尝试访问此文件夹时，它们将自动重定向到您网站的首页。

步骤2：保护WP-CONFIG.PHP

我们强化WordPress安全性的下一步是限制对wp-config.php文件的访问。当您第一次创建WordPress网站时，您必须创建一个数据库名称，用户名，密码和表前缀，它包含在wp-config.php文件中。您要保护此文件的原因是因为它包含WordPress需要与数据库通信的信息，并从长远来看，控制您的站点。

为了保护你的wp-config.php文件，你只需要做一些简单的步骤。首先，我们将再次打开.htaccess文件。接下来，我们将要复制下面的代码片段，并将其粘贴到我们的.htaccess文件中，就像我们在第1步中所做的那样。

# Blocking web access to the wp-config.php file
<files wp-config.php>
order allow,deny
deny from all
</files>

最后，保存并重新上传文件。

步骤3：保护.HTACCESS文件本身

正如你可以看到步骤1和2，.htaccess文件是内在的保卫您的WordPress网站免受恶意的外部威胁。这就是为什么在这一步我们将保护.htaccess文件本身，防止黑客删除我们已经建立的保护。

为此，我们将再次打开.htaccess文件。接下来，将下面的代码插入到现有代码中。

# Securing .htaccess file
<files ~ "^.*/.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

通过这个简单的补充，您的.htaccess文件受到外部威胁的保护。

步骤4：删除文件编辑器访问

对于最后一步，我们将禁止黑客访问他们可以获得的最具破坏性的工具之一：WordPress仪表板中的编辑器。它允许您编辑您的主题文件，这是有帮助的，但可能是危险的。如果除了你自己以外的人可以访问这个，那么他们可以改变你的代码并破坏你的网站。

使用此项目，我们将从WordPress仪表板中删除编辑器。而不是通过WordPress访问该文件，我建议您通过ftp客户端访问它，如FileZilla，这更适合于站点完整性。

所以要做这个项目，我们首先要打开wp-config.php文件。一旦我们开放，我们将要去代码的最后，在这里你会发现文本“那就是，停止编辑！快乐博客“。在本文之前，我们将添加以下代码，以完全从WordPress中删除文件编辑。

define('DISALLOW_FILE_EDIT', true);

一旦添加了代码，保存文件并将其重新上传到服务器。现在您的WordPress网站是安全的任何人访问您的网站，并试图操纵代码。

知道你的网站是安全的

如果您遵循所有这些步骤，您的网站应该更安全。通过减少黑客对运行网站重要的访问权限，您可以增加WordPress网站的整体安全性。