网站建立好了,提交360搜索,在后台有网站安全检测,就顺手做了下,发现这个问题,虽然我认为肯定没问题,但是还是听从建议:
用wordpress建立网站后,程序在网站管理目录web/wp-admin/下遗留一个叫做install.php的文件。这个文件是安装程序中的支持文件,只在安装时会调用,当程序释放后就失去了作用,删除并不影响网站功能。这就如同下载可执行文件,安装到电脑后,下载的安装文件是可以删除的,并不影响程序的运行。此目录包含了危险的功能或信息,黑客有可能利用这些脚本或信息直接获取目标服务器的控制权或基于这些信息实施进一步的攻击。所以,我们有必要对这个文件进行处理,以保证整个网站的安全。那么,我们需要怎么做呢?
处理install.php的办法当然不止一种。我们可以选择执行拒绝写入指令或者是修改程序名称,让黑客无法修改或者无法识别这个文件,来达到阻扰黑客的目的。也可以直接删除。
1)执行拒绝写入指令。这个可以在网站空间的控制面板操作,大部分的服务器都支持这种做法,而且很简单,还可以对整个目录做出执行拒绝写入指令。当然了,也可以在ftp端的属性选项进行操作。
2)修改程序名称。我们可以修改前缀,把install修改成任何你想要的名称。也可以修改后缀名,把格式定义为其他任意格式,如把.php改为.xyz。这么做的目的是伪装这个文件,阻扰黑客的识别,反正这个文件又不会影响网站功能,随便我们怎么定义了。
3)清空文件内容。用文本编辑器打开install.php,把里面脚本记录清空然后保存。这样即使黑客获取了这个文件,也无法对安装脚本进行分析。
4)直接删除。这是最直接有效的方法,也是推荐与首选。前面说了,这个文件只在网站程序载入空间服务器时需要调用,不然无法完成安装。但是安装完成后,就完成了它的使命,同时也失去了它的作用。删除它的另一个好处是,可以为服务器节省一丁点空间。
最后,啰嗦一句。网站安全要根据实际,利用多种方法,定期备份其实是最笨也是最有效的方法,没有之一
