现在的位置:首页>wordpress>正文

wordpress网站根目录下wp-admin等文件权限的安全设置

2013年05月22日 ⁄ 共 1106字 评论 1 条

用过wordpress的朋友都知道,在您用wordpress建站的空间根目录下,会有wp-admin,wp-content和wp-includes这样的三个文件,而一般情况下,如果您的网站遭到的攻击,基本上都是从以上三个文件开始的,那么我们如何设置这三个文件的权限以保护我们的网站呢?

quanxian1

现在的互联网上,想要攻击一个网站并不是一件很难的事情,我们可以借助一些第三方网站提供的软件来进行攻击的操作.部落之前在一个QQ站长群里,就经常听到有人说自已的网站被攻击这样的声音.相信大多数朋友应该都听说过CC攻击.如果您将自已的网站中,wp-admin,wp-content和wp-includes这三个文件的权限都设置为只赋予所有者可写权限,那么您的网站应该是比较安全的,然而事实上我们不可能这样做,因为这样设置以后,就不能保证自已的wordpress网站所有功能都能正常运行.

一.wp-admin文件权限设置

这是WordPress的一个管理目录,几乎所有的核心文件都在这个文件夹下,连接数据库,整合动态菜单数据,显示非核心控制页面等.部落建议只要赋予所有者可写权限即可,如下图:

quanxian2

也就是说,对应的文件权限为755,强烈建议您不要将此文件夹设置为777.部落开始设置成644试了一下,好像如果设置成644会造成不能发布文章.

二.wp-includes文件权限设置

支持库目录,负责核心文章提取,改写等.同上面一样,部落建议只赋予所有者可写权限.

三.wp-content文件权限设置

在上面的三个文件中,wp-content文件可以说是最不好设置的.我们都知道,在我们的网站中安装插件后,都能在wp-content这个文件下找到.一般情况下只赋予所有者可写权限,然而,在部落的网站中,之前安装过Database Backup这个备份插件,在修改权限前是不能用的,非得要将该文件夹设为777才可以使用,没办法,为了网站的安全,只好将该插件删除了.部落安装的插件不多,对于其它的插件还没有发现问题.

其实,在网站根目录下,还有一个wp-config.php的文件,这个文件中包含有我们的数据库用户名和密码,建议您将该文件的权限设置为600或644.曾在好几个网站上看到,有些更注重网站安全的朋友,已经将该文件移到了其它的目录下.

如果您现在使用的主题不是wordpress提供的,就更要注意修改以下文件的权限了.

评论 1 条 评论内容很精采,有内幕,而且绝对有干货

  1. 电视 2013年05月22日 15:28  @回复  Δ-49楼 回复

    对于wp-admin这几个文件我的想法是都设置为755,如果插件不能用,就换一个!

给我留言