1. 从你的 WordPress 网站移除不必要的 meta-data
如果你检视过你的 WordPress 网站原始码,你可以发现有些 meta 标籤不是必要的。例如,你使用的 WordPress 版本会显示于原始码。
这项资讯对于一些寻找使用旧版或低安全性版本 WordPress 网站攻击的黑客来说是个不错的提示。从你的 WordPress 原始码完整移除掉版本号和其他非必要的 meta-data,只要把把这段程式码加入佈景主题的 functions.php 档案即可。
- remove_action( 1wp_head1, 1wp_generator1 ) ;
- remove_action( 1wp_head1, 1wlwmanifest_link1 ) ;
- remove_action( 1wp_head1, 1rsd_link1 ) ;
WLW-Manifest 函式(第二行)是 Windows Live Writer 用于下载你 WordPress 部落格的样式、佈景主题。Windows Live Writer 使用者不使用即时预览功能,故可以将此函式关闭。
2. 防止使用者直接瀏览你的 WordPress 目录结构
如果你不希望任何人直接瀏览你 WordPress 档案和资料夹清单,将以下代码加入你 WordPress 内现有的 .htaccess 档案中。
Options All -Indexes
并确认 wp-content/themes 和 wp-content/plugins 目录下包含空白的 index.php 档案。
3. 变更文章自动储存的时间间隔
当你在 WordPress 内建的编辑器编辑部落格文章时,它会自动储存你的草稿,当瀏览器不幸当掉时,有助于你快速恢復先前输入的内容。草稿预设会每分鐘自动储存,但你可以加入以下程式码来将自动储存的时间间隔变更为 120 秒(或 2 分鐘):
- define( 1AUTOSAVE_INTERVAL1, 120 );
4. 将所有 Feeds 重新导向至你的主要 RSS Feed
在上一个步骤,我们只有从网页内移除掉不必要的 RSS Feeds,但这些 RSS Feeds 依然存在。如果你想要单独使用一个 RSS Feed 例如 FeedBurner,并停用所有其他的 Feeds,将以下程式码加入你的 .htaccess 档案。记得把 feed URL 替换为你自己的网址。
- RewriteEngine on
- RewriteCond %{HTTP_USER_AGENT} !^.*(FeedBurner|FeedValidator) [NC]
- RewriteRule ^feed/?.*$ http:// feeds.freegroup.org/freegroup [L,NC,R=301]
5. 隐藏 WordPress 登入画面的错误讯息
当你输入一个不存在的使用者名称,或是错误密码来登入 WordPress 时,它会显示相当详细的错误讯息,来告诉你使用者名称错误,或是密码错误,这是狠糟糕的。
将以下程式码加入 functions.php 档案来隐藏所有登入相关的错误提示。
- function no_errors_please(){ return 'GET OFF MY LAWN !! RIGHT NOW !!';}add_filter( 'login_errors', 'no_errors_please' );
6. 变更固定网址结构
不要使用 WordPress 预设的固定网址结构,因为这不利于 SEO。
前往 WordPress 控制台的设定 -> 固定网址来变更你的 WordPress 固定网址结构。从搜寻引擎最佳化及效能来看,建议使用的结构为:
- /%post_id%/%postname%
7. 禁止索引 WordPress 程式
你希望 Google 和其他搜寻引擎可以抓取你的部落格文章,但不会希望索引你用于 WordPress、外挂和佈景主题的程式。
开啟你 WordPress 主目录底下的 robots.txt 并加入以下代码,来阻止搜寻引擎索引 WordPress 后台的元件。
- User-agent: *
- Disallow: /wp-admin/
- Disallow: /wp-includes/
- Disallow: /wp-content/plugins/
- Disallow: /wp-content/themes/
- Disallow: /feed/
- Disallow: */feed/
8. 把 Admin 权限设为读者
如果你的 WordPress 帐号是”admin”,建立一个新的使用者名称并给他系统管理员权限。接著登出 WordPress,以新的帐号登入,将 “admin” 权限从系统管理员设定为读者。
你也许可以考虑把帐号 “admin” 删除,然后将现有的任何文章、页面转移给新帐号。这对于安全性来说是相当重要的一个步骤,因为我们不希望让任何人有机会猜测具有 WordPress 管理员权限的使用者名称。
9. 对搜寻引擎隐藏你的 XML Sitemaps
XML Sitemaps 可以帮助搜寻引擎更好地抓取你的网站内容,但你不会希望搜寻引擎在搜寻结果页面显示你的网站地图。
将以下程式码加入你的 .htaccess 来防止 XML Sitemals 被搜寻引擎索引:
- Header set X-Robots-Tag "noindex"
10. 以密码保护你的 wp-admin 目录
你可以简单地为 WordPress 增加额外的安全防护,例如以密码来保护 wp-admin 目录。你必须要记住两组密码才能够登入至 WordPress – 包括你的 WordPress 密码,以及保护 wp-admin 目录的密码。
11. 删除所有没用到的佈景主题和 WordPress 外挂
未使用的外挂和佈景主题不会影响你的 WordPress 网站效能,但我们的目标是尽可能减少伺服器上可执行的程式码。停用并删除所有你不需要的东西。
12. 为静态内容设定过期时间
储存于你 WordPress 网站的静态内容:像是图片、CSS、JavaScript、.txt 等等不会经常改变,你可以设定过期时间让它们快取于使用者的浏览器中。因此,在稍后访问网站的过程里,你的网站就能更快载入 JS 和 CSS ,因为是从本机的快取中被载入。
请参阅 HTML5 模版的 .htaccess 档案,来了解设定过期时间的细节。如果你是使用像是 W3 Total Cache 之类的快取外挂,快取控制本身是由外挂来做管理。
- ExpiresActive On
- ExpiresByType image/gif "access plus 30 days"
- ExpiresByType image/jpeg "access plus 30 days"
- ExpiresByType image/png "access plus 30 days"
- ExpiresByType text/css "access plus 1 week"
- ExpiresByType text/javascript "access plus 1 week"