妍熙饭

用WordPress建站的站长们都知道，wordpress很好很强大，但是也难免会有一些漏洞或者不安全因素，如果因为这些原因，导致你的网站被黑，或者被挂马、最后数据丢失等等，那就太得不偿失了。所以WordPress的安全性也是非常之重要的，站长朋友们千万不要掉以轻心，尽可能的用各种方法将你的wordpress武装起来。做到安全第一位。我最近也在关注和研究wordpress安全方面的技巧和方法，我从网上搜集整理了一些我感觉很有必要的安全设置方法。现在分享给大家，希望可以帮助你解决WordPress安全性问题。

一、及时升级WordPress到最新版本

　　wordpress每一次官方的更新，发布的新版本WordPress安全性都会比老版本要高，并且解决了已知的各种安全性问题，所以如果有新版本时，一定要及时升级你的wordpress，现在的最新版本为3.3.1

二、隐藏WordPress的版本号

　　经常有一些很厉害的黑客，他们可以通过你的版本信息从而进入你的安全漏洞，所以我们要将wordpress的版本号彻底的删除掉。

具体方法是：
1、不要在Footer的地方加上WordPress的版本代码，显示出来不好
2，查看你的主题模版header.php文件，如果看到了有这行代码
< ?php bloginfo(’version’); ?>
一定要去掉，或者在主题文件function.php里加上如下代码：
< ?php remove_action('wp_head', 'wp_generator'); ?>

三、不要用WordPress默认的管理员用户名

　　WordPress安装成功之后，生成的默认用户名是admin，而且这已经是全地球人都知道的事了。所以，在你登陆到后台之后，第一件事情不是去修改密码，而是从新建一个管理员，然后把admin帐户删除。可以直接在WordPress后台完成，新建管理员帐户的时候，密码要设置复杂一些。这样就能避免黑客猜测管理员的用户名。

四、保护wp-admin文件夹

　　你可以通过限定IP地址访问WordPress管理员文件夹来进行保护，所有其他IP地址访问都返回禁止访问的信息，不过你也只能从一两个地方进行博客管理。另外，你需要放一个新的.htaccess文件到wp-admin目录下，防止根目录下的.htaccess文件被替换。

五、保护wp-content文件夹中的文件

WordPress的PHP文件是无法通过http访问的，所以，这里我们需要注意的是图片，附件，CSS和JS代码。保护的方法还是修改.htaccess。代码如下：

Order Allow,Deny
Deny from all

Allow from all


六、保护WordPress目录都无法访问

　　WordPress会默认安装插件到/wp-content/plugins/目录下，通常情况下直接浏览这个目录会列出所有安装的插件名，这很糟糕，因为黑客可以利用已知插件的漏洞进行攻击，因此可以创建一个空的index.html文件放到这个目录下，当然，修改Apache的.htaccess文件也可以起到相同的作用。

七、针对搜索引擎的保护

　　很多WordPress系统文件不需要被搜索引擎索引，因此，修改你的robots.txt文件，增加一行Disallow: /wp-* 就可以不让搜索引擎收录该目录下的任何文件及内容

八、WordPress数据库安全

　　数据表最好不要使用默认的wp_开头，安装数据库备份插件，无论做了多少保护，你还是应该定期备份你的数据库，使用WordPress Database Backup等插件可以实现数据库的定期备份。

转载文章请注明，转载自：妍熙饭 [http://www.yanxifan.com]

原文链接：http://www.yanxifan.com/1705.html