wordpress 在15年的时候市场占有额高达25%,是的,它已不再是一个博客系统,我使用 wordpress 的感受是插件、主题质量参差不齐,但是数量却异常庞大,这不是 emlog 等能比拟的。我在使用wordpress 的时候也遇到了一些问题,最终导致数据丢失,还好只写了几篇博客,今天,我来总结下我之后做的安全策略。
默认情况下,wordpress 的登陆地址是wp-login.php,但是你可能注意到了,我的博客登陆地址是 kpromise_login_hide ,这是因为我使用了 WPS Hide Login 这个插件,下载这个插件并启用后,可以在设置里面修改你的登陆地址,这样子一些非针对性的小打小闹就与你无关了,你还可以使用 fail2ban 把它们给拉黑。
你还可以使用 UpdraftPlus 定时备份数据库和插件、主题等,它支持备份到 Google Drive,刚好,我的主机在美国,简直不能再完美。
你可以下载 Google 身份验证器,然后安装 Two Factor Authentication 这样即使你的密码泄漏也无关紧要,还有两步验证,哈哈哈。另外 Google 身份验证器不需要翻墙就可以使用哦。如果你觉得这还不够安全,那么你还可以下载 wordfence ,不过,我觉得,设置定时备份、启用两步验证已经足够安全,隐藏登陆地址其实也可以试试,反正我是隐藏了,而且每天有大量的IP来访问我的登陆地址,而这些IP无一例外的被 fail2ban 给彻底封杀。如果你能完全控制你的主机,那么非常建议您使用 fail2ban 相信对您有不少帮助,毕竟这里罗列的插件仅限wordpress的安全,而 fail2ban 却可以用在任意网站。