#8 以密码保护 Admin 控制台 使用密码来保护 wp-admin 目录是一个不错的方法,因为浏览你的公开 WordPress 网站并不需要用到这目录下的任何档案。一旦设定完成,即使是授权的用户也需要输入两道密码才能登入他们的 WordPress 控制台。
#9 追踪你的 WordPress 服务器登入动态 你可以在 Linux 下使用 “last -i” 指令来列出所有登入你 WordPress 服务器的使用者,包括他们的 IP 位址。如果你发现清单内有未知的 IP 来源,那肯定要修改密码了。 此外,下面的指令将显示较长时间区间的登入动态,并使用 IP 位址分组(将 USERNAME 改为你的使用者名称)。 - last -if /var/log/wtmp.1 | grep USERNAME | awk 1{print $3}1 | sort | uniq -c
使用外挂来监控你的 WordPress 网站 WordPress.org 外挂库包含不少好用的安全相关外挂,可以持续监控你的 WordPress 网站是否有被入侵,或是其他可疑活动。这些是我会建议使用,也较为基本的安全外挂。 Exploit Scanner – 它会迅速扫描你的所有 WordPress 档案和文章,并列出潜藏恶意程式码的。例如垃圾链结可能会使用 CSS 或 IFRAME 方式隐藏在你的 WordPress 网志文章里,而这个外挂可以将它们找出来。 - WordFence Security – 这是一个非常强大、且应该使用的安全外挂。它会比对你 WordPress 的核心档案和原始档案间是否已被修改。而且,该外挂会锁定尝试登入你的网站却失败的使用者。
- WordPress Sentinel – 另一个实用的外挂,可以监控你的 WordPress 档案,当有任何档案被加入、删除或修改时会发出警告。
- WP Notifier – 如果你不常登入你的 WordPress 控制台,那这外挂适合你。它会在你安装的背景主题、外挂和 WordPress 核心有新的更新时以 Email 通知你。
- VIP Scanner – “官方”安全外挂将扫描你的 WordPress 背景主题有无任何问题,它也能检测出有无任何的广告程式码被注入你的 WordPress 背景主题里。
小技巧:你也可以使用以下 Linux 指令来列出近三天被修改的档案清单。将 mtime 改为 mmin 可以看到 “n” 分鐘前被修改的档案清单。 - find . -type f -mtime -3 | grep -v "/Maildir/" | grep -v "/logs/"
提高 WordPress 登入页面安全性 - 你的 WordPress 登入页面是每个人都可以存取的,但如果你想防止未授权的使用者登入 WordPress,你有以下三种选择。
- 使用 .htaccess 加入密碼保護 – 在 WordPress 認證以外加入另一道帳號密碼來保護你的 wp-admin 目錄。
- Google Authenticator – 這出色的外掛能為你的 WordPress 加入兩步驟驗證功能。除了輸入正確的密碼外,還必須搭配手機應用程式來輸入隨機產生的驗證碼。
- Login Dongle – 這個外掛使用一個非常獨特的方法來保護你的 WordPress。它能產生一個書籤列(加上秘密問題),你可以將它加入瀏覽器。當你要登入 WordPress 時,輸入你的密碼並按下書籤列才能登入 WordPress – 登入頁面的按鈕將無法使用。
| 
