Questa lettura
6 semplici passi per indurimento WordPress
Ci sono alcuni passaggi di base si possono adottare per contribuire a ridurre il rischio di comportamenti dannosi diretti al vostro blog WordPress. La mia intenzione con questo articolo non è quello di rendere il vostro sito web a prova di proiettile (se una cosa del genere esiste), ma per coprire gli exploit più comuni / debolezza. I permessi dei file e directory sono stati discussi altrove ma io dopo un promemoria sulla base regola del pollice: Impostare i file e le directory a 644 su 755. Se si deve usare le impostazioni meno sicure (per / wp-content/uploads / per esempio) che non hanno un buon padrone di casa .
La mancata osservanza di quanto segue non significa che il blog sarà hackerato, significa solo che è più probabile. Quindi qui si va:
.. Copri la tua privati (o: "mutande Nizza lì") ...
- Eliminare i file non necessari pagina / wp-admin/install.php e / wp-admin/upgrade.php ((Una volta che hai finito con l'installazione o aggiornamento di questi file non saranno necessari e saranno sostituiti con l'installazione successiva / upgrade))
- Eliminare messaggio di default e commentare ((pubblicizza "Blog New! Venite SPAM me!"))
- Rendono più difficile per rivelare le tue informazioni di accesso SQL e aiutare a prevenire Visitano dove non dovrebbero:. Nella directory di root (wp-config.php dove risiede) assicurarsi che ci sia un file htaccess contenente i seguenti ((disattiva ftp- Visitano stile; solo riconoscere index.html index.php come file di indice legittimi; non consentono l'accesso remoto a wp-config.php)):
Options -Indexes
DirectoryIndex index.php index.html
Order Deny,Allow
Deny from all - Modificare le autorizzazioni per file wp-config.php a 600 (equivalente a rw ---) se possibile ((Una delle poche eccezioni alla regola standard di 644))
- Prevenire browsing delle directory non coperti da WordPress: Drop un vuoto (0-byte) file chiamato index.html in / wp-content/plugins / o / wp-content/uploads / (per esempio) ((Il motivo per cui usare l'HTML. invece di. php è in rompe caso PHP sul server siamo ancora coperti a livello di HTTP))
- Per prevenire lo SPAM, attivare Akismet ((Akismet è grande a estirpare commenti spam)) (viene fornito con WordPress) e installare / attivare Bad Behavior ((Bad Behavior ferma un sacco di spam / maligno-attività prima che colpisca sempre il vostro sito)) Questi due plugin sono il minimo per la prevenzione dello spam a mio parere, ma sentitevi liberi di sperimentare da soli.
Altre considerazioni per la sicurezza sono la vostra scelta in un host. Vi consiglio di un professionista: 
Come sempre: Feedback benvenuti!
15 Utenti commentato "6 semplici passi per indurimento WordPress"
Sam,
L'amore il nuovo look del tuo sito!
Cordiali saluti,
J. Pisano-mustech.net
Grazie Joe! Stavo per inviare su di esso, ma coinvolti nella messa a punto, ecc, ecc
Spento no-follow troppo (non so perché non l'ho fatto prima).
grazie per questo, ho appena completato tutti i passaggi che hai elencato tranne che per il punto 3.
Potreste dirmi esattamente dove dovrei inserire la seguente nel file htaccess?
Options-Indexes
DirectoryIndex index.php index.html
Ordine Deny, Allow
Nega di tutti
Ciao Martin:
Ecco una copia del mio attuale htaccess sans gzip e AddHandler php5.:
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
grazie Sam, l'ho aggiunto alla mia htaccess.
Grazie per la grande "tutorial" 
Con quel file htaccess sopra, posso solo aggiungere la parte inferiore a partire ed essere un po 'più sicuro?
Bel tutorial per chi è nuovo a WordPress.
Grazie, io di solito uso mod_security per ottenere la massima sicurezza per qualsiasi sito, ma .... Htaccess e altri strumenti sono sempre i benvenuti ... bella mini tutorial, con semplici operazioni fattibile .... Compagno di applausi.
Ci sono strumenti in grado di controllare automaticamente per vedere se l'installazione WP ha avuto alcun file di spam aggiunto supplementare, ecc Uno dei miei siti è stata cancellata perché in qualche modo a google 4152 url spam / i file erano stati aggiunti nel wp-includes/js / tinymce / themes / avanzate / images / XP / directory.
Sarebbe stato facile se ci fosse una funzione diff dal WP conosciuto bene al WP installato anche una sorta di parola chiave di ricerca ricorsiva su tutto l'impianto sarebbe buono.
grazie per il tutorial ..
Controllare il mio passo-passo guida per l'indurimento WordPress 2.9.2
http://eyalestrin.blogspot.com/2010/05/hardening-guide-for-wordpress-292.html
