关于WordPress安全的6个建议

发表时间：2009/06/04 作者： Felix in WordPress

上星期博客被黑了，以前总觉得没什么，就是一个小站而已，现在才知道安全是很重要的，很多人肯定和以前的我一样，不是很看重。今天总结一些关于WordPress安全的建议，分享给大家。

保护好你的密码
这是一个老生常谈的话题了，任何人都知道密码的重要性，被别人盗取了密码就算是完了...所以密码要保护好，而且需要经常更换。
升级WordPress以及插件到最新版本
旧的版本肯定多多少少存在一些漏洞，所以要升级Wordpress到最新版本，还有一些插件，也是需要升级的，方法很简单，有些主机可以直接升级，有些主机不行的话可以去官网下载最新版本安装，注意升级前最好备份好你的数据库！
隐藏WordPress版本信息
建议修改一下的模板中的header.php，将里面关于WordPress的版本信息都删除，这样黑客就无法通过查看源代码来判断你的WordPress有没有升级到最新版本，你的Wordpress版本有没有特定的漏洞。

保护好一些特定的目录
WordPress的重要目录主要是/wp-admin/, /wp-content/plugins/和/wp-content/themes/这3个。
/wp-admin/这个目录比较重要，涉及到后台管理的安全，可以在该目录中新建一个.htaccess文件，阻止除了自己以外的IP的访问。具体代码如下
1. AuthUserFile /dev/null
2. AuthGroupFile /dev/null
3. AuthName “Example Access Control”
4. AuthType Basic
5. <LIMIT GET>
6. order deny,allow
7. deny from all
8. allow from ***.***.***.***
9. allow from ***.***.***.***
10. </LIMIT>
其中***.***.***.***是指你登录后台的IP，从而达到过滤其他人登录的IP。
对于/wp-content/plugins/和/wp-content/themes/，主要是隐藏你的插件和主题的信息，最简单的方法就是在这两个目录中添加一个空的index.html，当然也可以在根目录的.htaccess文件中添加一句Options -Indexes
设定好一些目录和文件的权限
对Wordpress目录和文件权限的设置，可以让博客用得更加方便更加安全。
Wordpress根目录：所有文件仅对于您的用户帐号可写。除了 .htaccess 如果您希望WordPress为您自动生成重写控制。
/wp-admin/ - WordPress控制区域：所有文件仅对于您的用户帐号可写。
/wp-includes/ - 主要的WordPress逻辑应用程序：所有文件仅对于您的用户帐号可写。
/wp-images/ - WordPress使用着的图形文件：所有文件仅对于您的用户帐号可写。
/wp-content/ - 可变的补充使用集目录。
/wp-content/themes/ - 主题文件。如果您想要使用内置的主体编辑器，所有的文件都需要共享可写。如果您不想要使用内置的主体编辑器，所有文件可仅对于您的用户帐号可写。
/wp-content/plugins/ - 插件文件：所有文件仅对于您的用户帐号可写。
另外wp-config.php这个文件，其中包含连接wordpress 数据库的用户名与密码，要慎重，只读就行了。网上有朋友说必要的时候可以设置成600，我没试过。
做好定时备份
备份是重中之重！有了备份，到了没办法的时候还可以用删除全部然后恢复的方法来还原博客。
一般需要备份好你的主题文件（themes），插件文件（plugins），上传的媒体文件（uploads），还有最重要的数据库。