Wordpress做为时下最流行的博客程序,所以也是被很多恶意行为重点关照的。设置正确的文件权限:读取、写入和执行,可以有效的防止对方执行恶意代码。
文件权限755 644 444等代表什么意思
755表示所有者可以执行任何操作,而其他人可以读取和执行,但可能不会更改文件。这是公共文件的理想选择。
644表示你可以读写,而其他人只能读取。
711表示你是唯一可以对文件执行任何操作而其他人只能执行。
700表示你可以做任何事情而其他人无法访问。这最适用于后端内的私有目录和项目。
600表示你可以在其他用户无法访问时进行读写。这是私有文本文件的理想选择。
WordPress文件权限
WordPress程序有许多不同的文件类型和文件夹可能需要更改内部和外部安全措施的权限。以宝塔面板为例,您可以很细致地设置各种不同的操作权限:
wp-content文件权限
wp-content文件夹包含与主题、插件和上传到你的WordPress网站相关的文件数据。编辑此文件夹中的文件将对网站产生重大影响,使其成为潜在黑客的目标。
为此,请将文件夹权限设置为755,将内部的文件设置为644,可以防止未经授权的访问。
正确的wp-includes文件权限
wp-includes文件夹存储API所需的核心文件以及站点的运行。因此,将其设置为644是正确的选择。
设置为755通常是所有其他文件夹的最佳选项,因为这样可以在访问其他文件夹时提供完全访问权限。
正确的wp-config文件权限
wp-config文件是存储基本配置和数据库连接信息的地方,使其成为所有文件中最重要的文件之一。对用户和组使用444权限来读取文件但不写入或执行。
WordPress文件权限建议
WP博客目录路径权限建议
目录/文件 当前权限 建议权限
/ 755
wp-includes 755
wp-admin 755
wp-admin/js 755
wp-content 755
wp-content/themes 755
wp-content/plugins 755
wp-content/uploads 755
wp-config.php 444
.htaccess 444
文件夹权限设置过严格可能导致
- 不能上传图片
- 不能自动安装主题、插件(需要FTP账户)
- 不能自动更新
- 其它任何需要wordpress写文件的问题
这些问题基本都可能是因为文件夹权限设置过于严格。 需要重新修改对应的文件夹权限到755.
比如:如果我们已经确认了WORDPRESS博客的主题模板,预计后期很长时间都不会更新,就可以把权限设置到644
对于Wordpress的其它安全建议
如果WordPress有更新,个人认为大家非常有必要及时地更新到最新版本。因为有大的更新肯定是有漏洞被传开,其它人可能通过谷歌等引擎种搜到,并利用漏洞。
设置复杂的密码
有必要为 WordPress 后台设置一个复杂后台登录密码,以防止被暴力破解。包含大小写和特殊符号很有必要。安装一个验证码的插件,例如:Mimi Captcha 在后台登录时需要输入验证码,这样就去除了大部分的暴力登录行为。保证数据库安全
以Linux系统为便,定期一个计划任务,定期自动备份网站数据库、整站文件,发送到七牛云,或者Google网盘等。防止服务器被黑或者其它失误操作后可以利用备份恢复网站数据。