删除所有没用的主题和插件
在开始选择一款合适的主题和一些必须的插件之后尽量减少不需要的空间占用,把不需要的主题和插件删除。一方面减少备份的压力,另一方面也可以减少服务器压力。
从页面中删除 WordPress 版本号相关的代码
WordPress 的根目录下会有一个 readme.php ,删除该文件,该文件会把网站所使用的 WordPress 版本告诉全世界,显然如果坏人知道了特定的 WordPress 版本就可以用来干坏事了。
检查网页代码,删除页面 meta 中一切有可能猜出 WordPress 版本的代码。有些 WordPress 版本会在 head 的 meta 中直接写上版本号,直接删掉。
比如有些主题的 header.php 文件中,删除
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
或者建议打开 functions.php 添加如下方法
remove_action('wp_head', 'wp_generator');
该方法会移除 WordPress 在 header 中添加的 meta 信息,但是如果稍微熟悉一点 WordPress 的人就能从 RSS 那边得到版本号,想要彻底地移除版本号,需要在 functions.php 中添加
function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');
移除版本号只是为了让做坏事的人不那么容易知道 WordPress 的后门,最安全的做法还是升级到最新的版本, WordPress 官方对于漏洞修复的还是很快。
设置文章的固定链接
默认的 WordPress 设定链接,一不美观,二不利于 SEO。所以一般我会设定为 /post/%year%/%monthnum%/%postname%.html ,我的其他博客也几乎都是使用这样的固定链接。
而对于一些大站,每日更新很多,可能无法顾及链接中的 postname 这样的字段,我建议直接使用固定长度的随机数字为固定链接。
关闭 WordPress 修订版本
WordPress 默认会自动保存文章的所有修订版本,没修改一次 WordPress 便会自动保存一份历史修订,这个功能非常实用,但却带来数据库的快速膨胀,对于我使用来说,我只需要 WordPress 记住最近几次修改即可。
所以要停用 WordPress 修订版本功能,可以在根目录下的 wp-config.php 配置下加入
define( 'WP_POST_REVISIONS', 3);
后面的数字为要保留的历史文章数量。如果想要直接关闭文章修订功能,直接将数字替换为 false 即可。
隐藏登录页面错误提示
在默认情况下 WordPress 会以友好的方式提醒登陆者用户名或者是密码错误,这样的信息对于一个商业网站来说很友好,用户也知道具体是什么原因导致的错误,而对于只是个人使用的网站来说无疑是给了暴力破解的人可乘之机。禁用相关错误即可。
在 functions.php 中加入如下方法禁用错误提示
function no_errors_please(){
return 'GET OFF MY LAWN !! RIGHT NOW !!';
}
add_filter( 'login_errors', 'no_errors_please' );
开启 Google 二步验证
WordPress 默认的登录页面很简单,也只会验证用户名和密码,现在主流的网站 Google, GitHub, LastPass 等等都有选项可以开启两步验证以增强网站的安全性, WordPress 幸好有人为此制作了 Plugin —- Google Authenticator 插件。
直接在后台搜索,下载,启用就行,官网地址: http://wordpress.org/extend/plugins/google-authenticator/
注意的是,激活之后他的设置路劲在 Users -> Profile and Personal options 页面下设置。
这个插件针对每个用户都有一个单独的设置,非常不错。
reference