禁止目錄瀏覽
許多主機默認情況下,都允許目錄瀏覽,這導致通過瀏覽器任何人都可以看到網站的所有文件。下面介紹兩個禁止目錄瀏覽的方法:其一是修改.htaccess文件;其二是適用於使用cPanel控制面板的主機。
方法1
修改.htaccess文件,將以下代碼添加到.htaccess文件即可。
# disable directory browsing Options All -Indexes
Tips:在修改或是替換原有的.htaccess文件前,一定要備份舊的文件,以便出現問題的時候可以方便的恢復。
方法2
登錄cPanel控制面板,找到“高級”-“索引管理器”,進入“索引管理器”後點擊選擇你想要保護的文件夾,然後在索引保護選項中選擇“無索引”即可。
Tips:在索引保護中共有四個選項:默認系統設置、無索引、標準索引(僅限文本)、喜好索引(圖像和文本)。
使用以上方法禁止目錄瀏覽後,再使用瀏覽器查看目錄會出現“403 Forbidden”的提示。
附:以下有10個安全技巧,可以幫助你輕鬆的解決WordPress安全性問題,以免你在WordPress的安全性上走更多的彎路。
1、升級WordPress到最新版本
一般來說,新版本的WordPress安全性都會比老版本要好一些,並且解決了已知的各種安全性問題,特別當遇到重大的版本升級時,新版本可能會解決更 多的關鍵性問題。(例如老版本WordPress有remv.php重大漏洞,可能會導致遭受DDoS***,升級到最新2.7版本可解決這個問題)
2、隱藏WordPress版本
編輯你的header.php模板,將裏面關於WordPress的版本信息都刪除,這樣***就無法通過查看源代碼的防治得知你的WordPress有沒有升級到最新版本。
3、更改WordPress用戶名
每個***都知道WordPress的管理員用戶是admin,具有管理員權限,會***這個用戶,那麼你需要創建一個新用戶,將其設置爲管理員權限,然後刪除老的admin帳號,這就能避免***猜測管理員的用戶名。
4、更改WordPress用戶密碼
安裝好WordPress後,系統會發送一個隨機密碼到你的信箱,修改這個密碼,因爲這個密碼的長度只有6個字符,你要將密碼修改爲10個字符以上的複雜密碼,並儘量使用字母、數字、符號相混合的密碼。
5、防止WordPress目錄顯示
WordPress會默認安裝插件到/wp-content/plugins/目錄下,通常情況下直接瀏覽這個目錄會列出所有安裝的插件名,這很糟糕, 因爲***可以利用已知插件的漏洞進行***,因此可以創建一個空的index.html文件放到這個目錄下,當然,修改Apache的.htaccess文 件也可以起到相同的作用。
6、保護wp-admin文件夾
你可以通過限定IP地 址訪問WordPress管理員文件夾來進行保護,所有其他IP地址訪問都返回禁止訪問的信息,不過你也只能從一兩個地方進行博客管理。另外,你需要放一 個新的.htaccess文件到wp-admin目錄下,防止根目錄下的.htaccess文件被替換。
7、針對搜索引擎的保護
很多WordPress系統文件不需要被搜索引擎索引,因此,修改你的robots.txt文件,增加一行Disallow: /wp-*
8、安裝Login Lockdown插件
這個插件可以記錄失敗的登錄嘗試的IP地址和時間,如果來自某一個IP地址的這種失敗登錄超過一定條件,那麼系統將禁止這一IP地址繼續嘗試登錄。
9、WordPress數據庫安全
數據表最好不要使用默認的wp_開頭,安裝數據庫備份插件,無論做了多少保護,你還是應該定期備份你的數據庫,使用WordPress Database Backup等插件可以實現數據庫的定期備份。
10、安裝Wordpress Security Scan插件
這個插件會自動按照以上的安全建議對你的WordPress進行掃描,查找存在的問題,使用較爲簡單。