开始的时候我并没在意
wordpress虚拟主机的安全设置问题,这几天做
简单SEO这个博客网站时,碰到不少问题,所以要在虚拟主机Cpanel后台进行频繁的更改设置,无意中我点开了这样的目录
http://www.simpleseo.cn/wp-includes/(你现在打开这个路径的话只能看到一片空白),如果虚拟主机的目录安全设置不严格的话,任意用户可以浏览该目录下的文件结构,如下图
怎么样,是不是有些恐怖呀。当然就上图这个目录情况来看,除了暴露文件列表外,似乎不能产生严重其它的安全问题,但如果你有目的性查看某些重要目录的话,结果就有些可怕了。我在网上随便找了一些
wordpress网站,很多都存在同样的问题,甚至碰到一个有备份数据的网站,网站上几百M的数据全部可以下载下来,这样一来事情就搞大了。
怎么解决这个问题呢?对于使用Cpanel后台的虚拟主机,我们可以到高级设置的文件索引处做如下设置:
这样,该目录下的文件就不会被索引出来了,如果你有服务器的操控权限的话,直接修改Apache的http.conf就可以了,windows sever的设置则更简单,在IIS里按照提示操作即可。
还有一个简单方便的办法,在没有类似于index.php等默认页面的目录里,新建一个空的默认页面 (index、default.htm都可以),人家打开这个目录后只能看到一片空白,这就不需要设置服务器和虚拟主机了。
这个安全问题不仅存在
wordpress身上,所有的虚拟主机,无论是unix 还是windows的都需要注意,赶快去检查一下你的
wordpress虚拟主机的安全设置吧。
本文转自:
http://www.simpleseo.cn/cms/wordpress-safe-setting
