让网站安全的一个技巧

使用360，和网络安全中心在线检测，能知道自己配置的服务器是否出现一些潜在的安全漏洞，挺不错的，其中主要检测常用网站系统出现的问题，通过这些检测出来的漏洞，给予相应的处理方式。
然后做好相应的修改和配置。
如：nginx+php+mysql配置的网站多数是要修改php.ini
如：wordpress的安全要修改的就多点，
1、不要使用默认的数据库wp_做为前缀
2、不要用admin作为管理账户，管理数据不要ID=1，可以新建一个同权的账户，并删除安装用户。
也可以将下面的代码添加到当前主题函数模板 functions.php 中，将 ID 为 1 的用户改为 ID 为 200 ，如我的用户注册到了199，哪修改为200。
刷新一下页面，看看是不是管理用户 ID 变成 200 了。修改后，记得将代码移除。

    global $wpdb;
    $wpdb->query("UPDATE wp_users SET ID = 1 WHERE ID = 200");
    $wpdb->query("UPDATE wp_usermeta SET user_id = 1 WHERE user_id = 200");
    $wpdb->query("UPDATE wp_posts SET post_author = 1 WHERE post_author = 200");
    $wpdb->query("UPDATE wp_comments SET user_id = 1 WHERE user_id = 200");

phpmyadmin操作：
先备份，将在wp_users表中将默认WordPress管理员用户标识从1更改为200。

UPDATE wp_users SET ID = 200 WHERE ID = 1;

将用户相关数据存储在wp_usermeta表中的默认WordPress管理员用户标识从1更改为200

UPDATE wp_usermeta SET user_id = 200 WHERE user_id = 1;

批量修改文章的作者：

UPDATE wp_posts SET post_author = 用户1id WHERE post_author = 用户2id;

也可以将旧管理员的文章通过SQL直接转到新管理员ID名下（不修改的话，默认会变成无作者文章）。

UPDATE wp_posts SET post_author = 200 WHERE post_author = 1;

3、删除install.php和upgrade.php
4、密码要复杂
5、主题启用文件编辑器
6、隐藏后台文件夹，改名或者加串验证
7、针对wordpresss修改PHP.ini的 allow_url_include=Off；allow_url_fopen=Off和

disable_functions = apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

8、文件权限
根目录 750
chmod -R 750 wp-admin
chmod -R 750 wp-content
chmod -R 750 wp-includes
chmod 444 .htaccess
chmod 640 index.php
chmod 400 wp-config.php
chmod 640 wp-blog-header.php

2020-11-08测试禁用函数，新增宝塔没有的：
apache_child_terminate,define_syslog_variables,escapeshellarg,escapeshellcmd,eval,fp,fput,ftp_connect,ftp_exec,ftp_get,ftp_login,ftp_nb_fput,ftp_put,ftp_raw,ftp_rawlist,highlight_file,ini_get_all,inject_code,mysql_pconnect,php_uname,phpAds_remoteInfo,phpAds_XmlRpc,phpAds_xmlrpcDecode,phpAds_xmlrpcEncode,posix_getpwuid,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,posix_uname,proc_close,proc_get_status,proc_nice,proc_terminate,xmlrpc_entity_decode

在宝塔后台php禁用函数，粘贴，保存即可。

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。

让网站安全的一个技巧

文章展示

wordpress插件使用记录

wordpress 手机app端

自定义Sql连不上出错提示

使用WinDows Live Writer更新CaoHuan

esxi安装ubuntu装宝塔配OpenLiteSpeed 跑wordpress

wordpress运行环境把nginx换OpenLiteSpeed

让网站安全的一个技巧

相关文章

文章展示