WordPress 安全性設定(一) 初始安裝階段篇

最後更新 2022-02-06 作者 Roy

WordPress是世界上常用的開源架站系統,基本上分為wordpress.com 和wordpress.org,前者是由 Automattic 公司進行營利的,後者是由我們自己親自建立並管理,所以很多事是要自己親自設定。
本篇文章適用於網站尚未進行安裝前所作的設定,如果已經安裝完成了,內文也會提供如何補救。

WP前綴表更改

wp-config.php 這個重要的 WP 系統檔,資料庫的資料表前綴字串,預設是 “wp_”在此頁面時,請將他換成其任意字串,例如『pw_』
萬一你已經都安裝完成了, 請安裝『Change DB Prefix』此外掛做修改

修改WP預設的 admin 帳號

很多人喜歡使用admin或是user等等之類的預設帳號,當有心人士只要用 admin 帳號搭配密碼破解程式,甚至直接嘗試簡單的密碼組合就有機會登入你的網站了,所以請把它換成你喜歡且記的住的帳號。
如果已經使用了上述的預設帳號,請到「使用者」-> 新增使用者 -> 新增一個用戶並將權限提升到用戶管理員,接著登出原本的帳號改登入新帳號將原本的帳號刪除即可

使用高強度的密碼

最基本請使用一個大寫英文+一個小寫英文+數字一共8位以上才是安全的,也可以直接用系統的「產生密碼」按鈕,增加複雜度。

修改wp-config.php

修改根目錄系統檔案 wp-config.php 裡面的金鑰設定,一共有8組,直接參考該檔案的註解說明,到網址 https://api.wordpress.org/secret-key/1.1/salt/ 來產生金鑰即可。

保留WordPress PHP和資料庫錯誤記錄

從錯誤記錄有時候可以發現針對你 WordPress 所發出的無效資料庫查詢或檔案查詢。
推薦使用外掛 Error Log Monitor,因為它能定期透過 Email 發送錯誤日誌到你的信箱,也能顯示於你的 WordPress 控制台。
要在 WordPress 啟用錯誤日誌功能,將以下程式碼加入你的 wp-config.php 檔案,記得要把 /path/to/error.log 替換為你的日誌文件實際路徑。error.log 應該放在無法直接從瀏覽器存取得到的目錄。

define('WP_DEBUG',true); 
if(WP_DEBUG){ 
 define('WP_DEBUG_DISPLAY',false); 
 @ini_set('log_errors','On'); 
 @ini_set('display_errors','Off'); 
 @ini_set('error_log','/path/to/error.log'); 
}

本系列文章會分成以下章節,持續更新

關於作者 Roy

曾經北漂的工程師,現在專注於WordPress、.Net Core開發


發佈留言