Tuesday, August 12th, 2008
酋长的Blog中看到介绍 WordPress安全白皮书 :
关于WordPress的安全性,一直有组织在研究,比如BlogSecurity,他们发布的《WordPress安全白皮书》更是关于WordPress安全的一次总结,让人高兴的,国内热心的朋友把白皮书翻译成了中文,所以各位朋友可以很轻松的阅读。白皮书写的很详细,WordPress介绍,安装,使用WordPress的细节等等,详细而系统的讲解了如何做一个安全的WordPress博客。中文版《WordPress安全白皮书》
这里不是把内容重复一遍,而是结合实际(比如偶)来记录下学习笔记 :) 。
安装WordPress
对于虚拟机的用户来说 “安装WordPress” 中自己先使用root创建数据库,然后创建限制用户来给Wordpress的步骤就可以免了,因为你大多情况下就是使用的限制用户!
编辑wp-config.php文件,添加AUTH_KEY ,SECURE_AUTH_KEY和LOGGED_IN_KEY 的值。内容可以到http://api.wordpress.org/secret-key/1.1/ 来生成!
手动修改数据库表前缀,这个建议在安装的时候就搞好,要不你已经安装过想改的话就用里边介绍的直接用phpmyadmin来操作数据库,或者用他给的插件WP Prefix Table Changer 来搞。Alpha 版本的插件,难免存在 bugs。酌情使用 :o
创建非管理员权限用户日常使用,修改默认管理员名字(默认为admin)。其实不用像文档里说的那样复杂的操作数据库改名,你只要在创建个用户设为管理员,然后直接进去把admin删掉就可以啦,要还想弄个假体的,就在创建个普通的admin用户或者直接修改权限为普通的用户来。
im-web-gefunden 的 Role manager 插件功能的确很了得,哇哈哈,见识ing。
强化安装WordPress
主要是对管理区域进行限制操作。
限制 wpcontent 和 wpincludes
限制目录权限,拒绝所有的东西,除了对图片,CSS 和一些 JavaScript文件的请求。
考虑到性能问题,不建议使用.htaccess来做限制,使用.htaccess文件, 则Apache需要在每个目录中查找.htaccess文件,因此,无论是否真正用到,允许使用.htaccess文件都会导致性能的下降。另外,每次请求一个页面时,都需要读取.htaccess文件。
把以下的代码放到你的 .HTACCESS 文件中,这些 .HTACCESS 文件应该放在 WP‐CONTENT 和
WP‐ INCLUDES 目录下:
Order Allow,Deny
Deny from all
<Files ~ ".(css|jpe?g|png|gif|js)$">
Allow from all
</Files>
这个办法很了得,学习啦 ,嘿嘿,
限制 wpadmin
限制所有但除了自己的 IP
如果你的是一个单一用户博客,你可能需要限制通过 IP 连接 WP‐ADMIN 的权限。请确保你所使用
的是静态 IP(注意ing)。WP-ADMIN ...
Posted in wordpress支持, 今日一点 | 1 Comment »
Saturday, July 26th, 2008
很不错的一个插件:Wordpress Thread Comment
针对Wordpress评论功能的增强插件。本插件让用户能够对已有评论进行回复讨论,并将结果嵌套或成串显示。
功能特性
用户可以对已有评论进行回复讨论
嵌套或成串显示相关讨论。
无需对Wordpress和主题进行修改,便于安装。
W3C兼容。
可于管理后台自定义的HTML、PHP和CSS。
支持AJAX,无需刷新整个页面即可留言。
可自由选择是否使用AJAX效果。
评论有回复时电邮通知原评论人
支持前台管理评论(移动评论,删除评论)。
如果需要使用AJAX,在主题中的评论的对象必须依从Wordpress主题标准,有“comment-xxx”这个ID,否则将无法使用AJAX功能。
下载地址:http://wordpress.org/extend/plugins/wordpress-thread-comment/
刚刚测试啦下感觉挺不错的,是“偶爱偶家”同学作品 :) (这个Blog暂时先不用这个插件,感觉评论不多,呵呵。偶手动在回复者的内容中回复好啦 :0 )
效果预览:http://blog.2i2j.com/plugins/wordpress-thread-comment
Posted in wordpress支持, 今日一点 | No Comments »
Tuesday, July 22nd, 2008
刚刚看到IT与人性的优化Feed输出 于是突发奇想给自己的feed也加个这样的版权声明
嘿嘿,于是去wordpress的插件库里找rss相关的插件,©Feed很显眼,看说明可以带相关文章,附带评论,文章指纹 :) 不错,刚刚够用。
如果再带个前边文章里加入相关文章就好啦,呵呵,不过现在感觉还不需要啦
截个图类
[gallery]
Posted in wordpress支持, 今日一点 | No Comments »
Friday, July 18th, 2008
影响速度的可耻,占用空间的可耻,去掉去掉
先前进后台慢的问题终于有所缓解,去掉aLinks插件ing,就ok啦,另外顺手把其他几个不用的插件也删掉啦
(PS:简单地说就是aLinks rc1在WP2.6上使用可能导致后台操作变慢)
Wordpress2.6的新功能 修改版本管理的确很酷有wiki的意思,只不过我这博客应该是我一个人在写吧,不牵涉到与他人协作,也没必要保留以前的历史版本,所以在wp-config.php 添加的代码:
define('WP_POST_REVISIONS', false);
这个WP_POST_REVISIONS详细说明:
true (default), -1: store every revision
false, 0: do not store any revisions (except the one autosave per post)
(int) > 0: store that many revisions (+1 autosave) per post. Old revisions are automatically deleted.
参考:http://codex.wordpress.org/Revision_Management
这下就不会保留历史版本啦,数据库也不会变胖啦 :)
另外在(从WordPress2.5.1到WordPress2.6)升级来的wp-config.php中添加啦随机验证字符串(升级过来的是没有的,这个是在cookies和ssl验证中用到,增强安全性)
// Change each KEY to a different unique ...
Posted in wordpress支持, 今日一点 | No Comments »
Saturday, January 5th, 2008
MaxBlogPress Stripe Ad是一款可以置顶显示文字广告或者声明,告示等等的WordPress插件。
可以自由添加多个文字广告来循环展示,设置标题和链接,同时可以设置权重来调整不同广告的展示次数比例。能够设置是否浮动置顶显示,是否显示关闭按钮。同时可以设置颜色,字体,边框等等样式,而且可以设置不同的展示方式。
Posted in wordpress支持 | No Comments »