成都網(wǎng)站建設(shè)|域名注冊(cè)|虛擬主機(jī)|網(wǎng)站制作|網(wǎng)站案例|網(wǎng)站優(yōu)化|網(wǎng)站推廣|企業(yè)郵局|服務(wù)器租用|廣告設(shè)計(jì)

• 首頁(yè)
• 服務(wù)器租用
• 企業(yè)郵箱
• 虛擬主機(jī)
• 網(wǎng)站程序
• 營(yíng)銷推廣
• 網(wǎng)站建設(shè)
• 域名注冊(cè)
• 前端開發(fā)
• 網(wǎng)站備案

營(yíng)銷推廣

• seo優(yōu)化
• 網(wǎng)站推廣
• 搜索引擎
• 免費(fèi)資源

服務(wù)器租用

• web服務(wù)器
• FTP服務(wù)器
• 服務(wù)器托管
• 服務(wù)器租用
• vps主機(jī)服務(wù)器

企業(yè)郵箱

• 企業(yè)郵箱優(yōu)勢(shì)
• 企業(yè)郵箱設(shè)置
• 郵箱收發(fā)問題
• 郵箱功能講解
• 郵箱其他問題

虛擬主機(jī)

• 主機(jī)購(gòu)買
• 數(shù)據(jù)庫(kù)
• 主機(jī)管理
• FTP上傳
• 主機(jī)續(xù)費(fèi)升級(jí)

網(wǎng)站程序

• java教程
• asp程序
• asp.net程序
• vb編程
• php程序

網(wǎng)站建設(shè)

• 網(wǎng)站方案
• 網(wǎng)站改版
• 網(wǎng)頁(yè)設(shè)計(jì)
• 網(wǎng)站維護(hù)
• 網(wǎng)站策劃

域名注冊(cè)

• 域名轉(zhuǎn)入\轉(zhuǎn)出
• 英文域名
• 通用網(wǎng)址
• 中文域名
• 域名解析

前端開發(fā)

• html
• jQuery
• JavaScript教程
• css
• div+css

網(wǎng)站備案

• 備案流程指南
• 備案資料下載
• 備案常見問題
• 各省備案要求

移動(dòng)互聯(lián)網(wǎng)

• wap手機(jī)網(wǎng)站
• app應(yīng)用開發(fā)
• 微網(wǎng)站

• 當(dāng)前位置：創(chuàng)新互聯(lián) >> 常見問題 >> 營(yíng)銷推廣 >> 網(wǎng)站推廣 >> WordPress如何防注入、關(guān)閉后臺(tái)文件編輯

WordPress如何防注入、關(guān)閉后臺(tái)文件編輯

• 作者：創(chuàng)新互聯(lián) 文章來(lái)源： 點(diǎn)擊數(shù)： 更新時(shí)間：2015-03-02

• 為您的WordPress開啟SSL安全登陸

  當(dāng)然并不是所有的WordPress主機(jī)都支持SSL安全登陸，因此在執(zhí)行本條規(guī)則之前記得先咨詢Hosting提供商，確保當(dāng)前的服務(wù)器支持SSL，然后在站點(diǎn)wp-config.php里邊加入如下代碼：

  /* Enable SSL Encryption */

  define(‘FORCE_SSL_LOGIN’, true);
  define(‘FORCE_SSL_ADMIN’, true);
  保存退出，重新登陸您的WordPress站點(diǎn)后臺(tái)會(huì)發(fā)現(xiàn)網(wǎng)站后臺(tái)自動(dòng)轉(zhuǎn)向了https://，因?yàn)榇蟛糠諻ordPress前臺(tái)并不需要SSL加密，而后臺(tái)涉及更多的安全性問題，加載SSL將起到很好的保護(hù)作用。
  防止WordPress被SQL代碼注入
  如今SQL代碼注入已經(jīng)越來(lái)越成為網(wǎng)站安全性的一大隱患，哪怕僅僅是一小段代碼通過(guò)各種渠道注入到WordPress站點(diǎn)里邊，都將可能帶來(lái)極大的風(fēng)險(xiǎn)，甚至危機(jī)整個(gè)服務(wù)器所有站點(diǎn)的安全性，為了防止類似的注入風(fēng)險(xiǎn)，必須保護(hù) PHP GLOBALS 和 _REQUEST 參數(shù)，請(qǐng)將以下代碼加入到站點(diǎn)根目錄的.htaccess里邊：
  Options +FollowSymLinks
  RewriteEngine On
  RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
  RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
  RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
  RewriteRule ^(.*)$ index.php [F,L]
  
  
  以上代碼將檢測(cè)任何來(lái)訪請(qǐng)求是否涉及修改PHP GLOBALS 和 _REQUEST 參數(shù)，如果有任何涉及的請(qǐng)求，該請(qǐng)求將被阻止，并返回一個(gè)403錯(cuò)誤頁(yè)面。
  
  
  WordPress關(guān)閉后臺(tái)文件編輯方法
  請(qǐng)?jiān)诰W(wǎng)站根目錄wp-config.php文件中加入如下代碼：

  /* Disable Theme and Plug-in Editor */

  define('DISALLOW_FILE_EDIT', true);
  
  
  保存退出后，再次進(jìn)入后臺(tái)會(huì)發(fā)現(xiàn)外觀菜單里邊的編輯按鈕消失了，就算你輸入了/wp-admin/theme-editor.php打開也會(huì)返回一個(gè)沒有權(quán)限的錯(cuò)誤提示，確保就算萬(wàn)一后臺(tái)密碼被破解或者得到以后不至于進(jìn)入模版編輯界面進(jìn)行隨意的篡改模版文件，然后因?yàn)橐话銥榱朔奖愫笈_(tái)編輯模版文件都會(huì)把模版目錄權(quán)限直接給予了最高的777權(quán)限，出于安全考慮必須將所有文件夾恢復(fù)為755，所有文件恢復(fù)為644，但是如果模版文件很多，挨個(gè)去修改肯定不現(xiàn)實(shí)，可以通過(guò)以下命令進(jìn)行批量修改：

  find . -type d -exec chmod 755 {} \;

  find . -type f -exec chmod 644 {} \;
  執(zhí)行以上兩行命令以后，所有該文件夾底下的文件和文件夾都有了安全的屬性。
  阻止uploads目錄php執(zhí)行權(quán)限
  我們都知道WordPress網(wǎng)站關(guān)閉后臺(tái)模版文件編輯權(quán)限和進(jìn)行了模版文件可寫屬性去除以后，就剩余/wp-content/uploads目錄的安全性問題了，這個(gè)目錄是唯一一個(gè)給予了777權(quán)限的目錄，假設(shè)被惡意的上傳了一個(gè)可執(zhí)行的PHP文件并且被執(zhí)行以后，后果可想而知，因此需要保證此目錄不可以執(zhí)行任何php文件，方法是在該目錄新建一個(gè).htaccess文件，加入如下代碼：
  Deny from All
  
  
  保存退出以后，uploads目錄就被禁止了執(zhí)行php的權(quán)限。

  
  

• 企業(yè)網(wǎng)站能給企業(yè)帶來(lái)哪些好處 :上一篇
  提升企業(yè)形象-打造網(wǎng)站品牌 擴(kuò)大產(chǎn)品市場(chǎng) :下一篇