Wordpress提高網站安全防止被駭、發垃圾信的10步驟

1.使用wordpress雙重認證登入

如果駭客如果能獲得第一層，但不可能通過第二層，為您的用戶安全實際的提升，雙驗證的插件包括Fortytwo，PassQi mFactor，Rublon雙驗證LaunchKey和SnapID。

2.隱藏WordPress網站資料夾目錄

更改 .htcaccess  (參考第10點)

3.下載wordpress網站安全管理的外掛

建議安裝 < WP Security Audit Log >和 < Securi Security >這兩個wordpress套件來監控網站安全狀況，例如日誌，登入紀錄等等。Wordpress的網站管理者，可以從這些變化判斷是否被駭客入侵隨時更換密碼或是過濾訪問IP等等防護網站安全的措施。

4.多網站主機要做好資料庫分隔，避免疫情擴大

如果你的wordpress網站主機必須管理多個wordpress網站，那每個網站的資料庫都必須獨立出來，不能只用前綴來分開wordpress，因為這樣若被駭客攻擊或惡意發信的話，將會全部wordpress一起感染，修復wordpress的工程將會是一場災難

5.做好wordpress完整的備份

Wordpress網站定期備份，除了主機的自動備份wordpress之外，也能使用套件來達成例如:  Akeeb 網站備份還原外掛，Akeeb自動還原程式，非常的傻瓜簡單易用，同時也出了Joomla網站備份版本，在網站被駭之後可以在最短的時間內還原網站的狀況。

6.將wordpress FTP的傳輸方式改成SFTP

如果您使用的FTP到您的網站上傳到網上，你想通過盡可能最安全的連接這樣做。SFTP是SSH安全性較高的傳輸方式，能讓你的網站安全增加防護。

7. 將wordpress登入網址隱藏起來 

wordpress的登入路徑其實大家都能找到，如果要增加一點安全性幫家裡大門上鎖，可以使用 外掛 <Lockdown WP Admin > 將後台登入的頁面隱藏起來，減少攻擊或惡意訪問，猜密碼的行為，除了你自己外都無法登入wordpress網站。

8.限制wordpress登錄錯誤次數

對於wordpress的痛點就是後台可能會遇到駭客所編寫的入侵wordpress程式，不斷的猜試你wordpress後台的帳號密碼，為了降低這種事情發生，我們可以將wordpress的網站

9.使用SSL安全登錄頁面

為你的主機購買SSL認證，這樣wordpress的網站就會受到SSL安全保護，目前有免費的，也有年費2-3000千/年的，依據每個主機的標價不同。購買之後

您可以在wp-config.php文件裡增加代碼 define( ‘Force_SSL_Admin’, true); 這樣下次登入的時候你會發現你的wordpress網址會出現HTTPS://
如果你不想使用上一個方法設定 SSL，你可以下載<Admin SSL plugin> 這個wordpress的SSL管理外掛 <Admin SSL plugin >，這樣WordPress版本2.7以上的版本都能全wordpress站執行SSL安全性。

10.整潔的方式來鎖定網站的.htcaccess文件

對於.htcaccess，有許多不同的方法來提升wordpress安全性防護處理，最主要的一件事就是要確定你是唯一的登入者權限

如果你使用的主機環境，不允許你創建一個.htcaccess文件，我們可以用這樣解決：
1。備份當前.htcaccess文件中，在你要更改之前（請養成備份的習慣）。
2。打開電腦中的筆記本來開啟，用純文字來顯示代碼。
3。確保儲存文件為.txt檔。
4。將文件上傳到你的網站。
5。上傳之後將文件重命名為.htcaccess
6。每次刷新網頁之後都可以從這些檔案裡面去判斷是否有異常的數據變化進而影響你wordpress安全性

將以下的代碼寫進.htcaccess中，可以保護wp-config.php檔案，減少被駭客入侵控制的機率

<files wp-config.php> order allow; deny deny from all</files>

這樣你就是唯一能登入後台的人
最後，魔鬼都是在細節裡的，即便你不是大公司wordpress網站，也必須要做好安全防禦，避免造成自己wordpress網站損失，更避免自己被在不知情的情況下被利用發大量垃圾信，甚至嘞索信的跳板

翻譯: AJ

原文網址http://blog.templatetoaster.com/10-tweaks-that-will-increase-your-wordpress-websites-security/?utm_source=F&utm_medium=M&utm_campaign=N

wordpress和joomla有甚麼差別?

joomla有世界標準化的MVC框架，對於開發者來說是非常方便的

不論是Java、.NET、ASP.NET、Perl、Ruby on Rails、Python、JavaScript 都有MVC框架

白話點講大概就類似你如果會日文，那韓文就很容易學，文法架構很貼近之類的

而wordpress主要是外掛和模版的位置PHP文件，例如

index.php：整體首頁
header.php：網站頂部及網頁資訊
single.php：文章內頁
footer.php：網站底部
archive.php：分類頁面
page.php：分頁頁面
sidebar.php：側邊欄

joomla並沒有這些，joomla只有一個index.php, 至於側邊欄，banner,foot這些都可以從後台點選設定

每個單元頁可以顯示不一樣的樣式、模版、框架，不同層級會員註冊近來看到不一樣的樣式頁面

這些功能都是在後台點選設定關閉或調整位置就行了，不需要去修改 任何.php檔案，也不需要修改css或html

如下圖

joomla 模版都會附帶layout的位置圖，每間公司的模版都會依照視覺設計而有不同

例如像Joomlart的欄位只要輸入數字就行了，水平的四欄，水平的三欄，輸入數字前台就自動產生

買模版的範例都會附上這種附註解釋  例如Yootheme的模版範例連結也是

joomla的工程師接觸到CSS和HTML的機會比wordpress少很多

近幾年joomla的開發商已經慢慢改遵循HMVC的框架

HMVC框架，更方便產生多子站，例如政府部門，學校部門，方便最高管理員統一管理

application
        |- modules
                |- module1
                        |- controllers
                                |- controllers.php
                        |- models
                                |- models.php
                        |- views
                                |- index.php
                                |- footer.php
                                |- ...
                |- module2
                        |- controllers
                                |- controllers.php
                        |- models
                                |- models.php
                        |- views
                                |- index.php
                                |- footer.php
                                |- ...
                |- ....
        |- controllers
                |- ...
        |- models
                |- ...
        |- views
                |- ...

從下面這張圖，可以很清楚的看到，一個主站可以無限生成多子站，方便管理。Joomla現在也慢慢都轉成這樣的框架非常利於開發者，開發學校系統、政府部門、跨單位網站、網路商城開店平台等等

# robots.txt for http://www.xxxxxxx.com
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: /feed/
Disallow: /trackback/
Disallow: /comments/
User-agent: Googlebot
Disallow: /*/*/feed/
Disallow: /*/*/*/feed/
User-agent: Baiduspider
Disallow: /*/*/feed/
Disallow: /*/*/*/feed/
Sitemap: http://www.xxxxxxx.com/sitemap.xml
Sitemap: http://www.xxxxxxx.com/sitemap_baidu.xml

=======================分隔線====================================
robots.txt的注意事項
1、如果你的站點對所有搜索引擎公開，則不用做這個文件或者robots.txt為空就行。
2、robots.txt必須放置在一個網站的根目錄下，在子目錄下無效。如：通過http://www.xxxx.com/robots.txt 
3、robots.txt，User-agent，Disallow等必須注意大小寫，不能變化。
4、User-agent，Disallow等後面的冒號必須是英文狀態下的，冒號後面可以空一格，也可以不空格。 
5、User-agent表示搜尋引擎spider：星號“*”代表所有spider，Google的spider是“Googlebot”，百度是“Baiduspider”。 
6、Disallow:表示不允許搜索引擎訪問和索引的目錄。至少要有一個Disallow函數，如果都允許收錄，則寫: Disallow: ，如果都不允許收錄，則寫:Disallow: / （注：只是差一個斜桿）。
 

網站外觀是主題的靜態部分由下面4個部分的代碼控制：

header.php
顯示網站上方頁手和選單

The Loop
顯示網站主題內容的模板文件稱為The Loop

Loop是“循環的查詢結果”。循環體中我們可以依次輸出選中文章的標題，博客內容，元數據，評論等。我們還可以在single page中使用多個loop。例如，我們可以用一個loop顯示博客全文，另一個loop顯示相關文章的標題和縮略圖。

The Loop結構如下：

Query post or page
Start Loop //循環開始
the_title (outputs the title of the post) //標題
the_excerpt (outputs the post excerpt) //摘要
the_content (outputs the full post content) //內容
the_category (outputs the post categories) //目錄
the_author (outputs the post author) //作者
the_date (outputs the post date) //日期
other tags (there is a variety of other tags you can use in the loop) //標籤
endwhile; //結束循環

Exit the loop //退出循環

sidebar.php
側邊欄由這個文件控制。多側邊欄的主題可以在functions.php中增加控制。
footer.php
網站的頁尾和html的結束標籤。

頁面組成
index.php – home

single.php – individual posts
顯示讀者要查看的特定網站文章內頁。

page.php – individual pages
這個檔案控制網站中獨立頁面的外觀。
WordPress可以創建獨立設計，讓每一頁的樣式都不同
 

WordPress的後台文件
comments.php
這個檔是評論的輸出，如果您希望在網站上提供評論功能，要把它放到loop中去。Comment.php文件可以被外掛覆蓋（如Disqus）

functions.php
Functions.php讓我們在WordPress上運行自定義代碼，以便更自由的修改客製化主題設計。

style.css
CSS是控制主題樣式的主要文件。該文件上方包含主題的訊息，用於提供主題的名字，模板作者等等連結
archive.php, category.php, tag.php – archives
 

這張圖 是高雄醫學大學校內建置joomla站的轉換分析圖

高醫大在一年之內將所有的各處室單位系統慢慢轉換成了Joomla  這是為什麼呢? 讓我們來聽聽他們的評估結果 

圖資室超級低調負責架站的先生說:

我們的經費嚴重不足。並且有開發時程的壓力，因此放棄自建系統。開源也是我們學校的風格。

在比較過幾個開源的CMS後，我認為WordPress雖然最為普遍、方便，但較偏向部落格等信息發布類的平台。

Drupal 則是要有超高度客制化能力，才能改製成對一般行政人員容易操作。

至於 Django 則是語言環境的問題。

我認為不是哪個 CMS 較好，而是適配性的問題，因此我們選用了 Joomla!

 隨便比喻：

WordPress是隨手可取得的美工刀，但是改造一下也是可以具有強大的殺傷力

Drupal 應該是把武士刀

Django 把它看成雙截棍?!

 我的目標是煮個晚餐，我不太想花時間改造美工刀、也不想拿拿武士刀來切西瓜，更別說用雙截棍了

所以我們用了 Joomla! 這把菜刀~~~~

 --

我覺得也有許多人投入對 Joomla! 的開發與維護，具有為數不少且時常更新的擴充套件，
我個人對 Joomla! 還有許多要學習和投入的部分，我先前也參考了不少你們的網站資源。

--

Joomla! 有不錯的前端語系呈現和後台語系支援度。

Joomla! 雖然在國內的討論不那麼熱烈，但是要找尋相關問題，Google Search總是有作者群或廣大網友的解答；足見有一定的族群在維護。

MVC Model，這時代講到Web應該都具有了（這部分 Django倒是比較老實說MTV，我本身是被MVC弄模糊的那一群）
 

最擔心的則是資安問題，因此真的挑開源軟體要挑族群夠大、夠強壯，有人、有高手群在維護，更版要夠快。

Joomla 這方面表現不錯。

---------------------------------

所以高醫大在一年之內轉換了80個以上的校內站轉換為 joomla站.

你也有很多問題想問他嗎? 歡迎來參加我們Joomla的南部推廣活動，他會負責主講一個神祕主題，我相信肯定會讓大家滿載干貨回家的!

請持續關注 Joomla 活動推廣    或 AJ 的FB 不定時有Joomla聚會，歡迎想了解，大概了解，想來踢館的朋友們都來聊聊唄!~讓我們來推廣開源吧!!

以下是wordpress的絕對路徑漏洞安全性處理：

1、/wp-includes/registration-functions.php

2、/wp-includes/user.php

3、/wp-admin/admin-functions.php

4、/wp-admin/upgrade-functions.php

只要直接訪問以上文件或者訪問當前wordpress網站的主題目錄下任意php文件都會爆出網站的絕對路徑，就連wordpress官方的主題twentytwelve也不例外。

解決方法一、在以上文件的的頭部<?php 後加入：

error_reporting(0);

解決方法二、直接修改php.ini隱藏php報錯。

保護wordpress後台不被直接訪問，防止直接post登錄wordpress後台

不用訪問wp-login.php文件，而是直接通過post遞交參數給wp-login.php來直接登錄網站後台，那麼$_GET對wp-login.php做的訪問限制就形同虛設，那麼該如何來有效的防​​止wordpress的登錄文件不被直接訪問而且不能以正常的post方式來登錄網站後台呢？

第一步：我們登錄後台進入到選項：在WordPress地址（URL）這一欄加上/ＸＸＸＸ（自由輸入）



第二步：我們在網站根目錄下新建一個名為ＸＸＸＸ的目錄，然後將除了index.php、robots.txt以及.htaccess之外的所有網站文件移至ＸＸＸＸ目錄(登錄變為域名/ＸＸＸＸ/wp -login.php)。

第三步：打開index.php並將

require('./wp-blog-header.php');

修改為：

require('./ＸＸＸＸwp-blog-header.php');

這樣一來wordpress的後台地址以及登錄post提交參數的地址都隨著wordpress系統文件的移​​動而改變了，再配合$_GET訪問限制方法就可以達到很好的防駭效果。

ElegantThemes

NattyWP

StudioPress

WooThemes

ThemeForest

RichWP

Gabfire

WP Now

GorillaThemes

Viva Themes