首页 > 技术点滴 > apache http auth howto 身份认证 wordpress后台保护

apache http auth howto 身份认证 wordpress后台保护

2013年5月7日 baoz 阅读评论

wordpress的插件难免会有这样那样的安全问题,无论是代码漏洞还是后门,前台这块地咱就不折腾了,后台得好好保护下。

0、通用的php加固,包括安全模式,openbasedir,disable_function等等

1、上传目录禁止php解释

在.htaccess里加入

2、后台管理地址加http auth

生成http_passwd文件

3、用https保护后台,哪怕是自颁发的证书,导入信任之后就不弹提示了,哪天弹提示了,说明被中间人攻击了,不要输入http auth密码和wp后台密码。

4、非http后台禁止访问(防止自己手抖少打个s导致http auth被抓走),还有个好处就是避免一些插件不小心引用了后台的文件要访问后台,导致前台弹出个http auth的窗口,别人还以为你钓鱼。

5、更改后台入口,有wp的插件可以做到

6、后台双因素认证,如果可以实现的话,2-5都可以省去。

 

  1. 本文目前尚无任何评论.