保护 WordPress 安全的10个方法

防黑是互联网上永恒的话题，和防盗一样不可或缺。

 

之前精博有翻译过 WordPress 的三个安全措施， 对博客的安全有一定的帮助，但是，没有任何的措施是无懈可击的。为了更好地提升 WordPress 的安全系数，Smashing Magazine 折腾出了 10 个新的安全措施 ，这些措施主要是通过对 wp-admin 这个文件夹的加密来保障整个博客的安全——当然，原文作者也说了不能 100% 保证安全。

 

这 10 个措施通俗易懂，下面是简单的中文介绍——只介绍做法，不讲为什么这样做。

 

 

防黑措施一：重命名 wordpress 文件夹

 

您可以把 wordpress 文件夹重命名为 wordpress_live_Ts6K，然后再把 wordpress_live_Ts6K 文件夹上传到根目录下，结果在 WordPress 控制面板显示的 WordPress address(URL) 如下：

http://example.com/wordpress_live_Ts6K

防黑措施二：完善 wp-config.php 文件

 

1、点击登录 http://api.wordpress.org/secret-key/1.1/ ，然后把自动生成的代码复制下来并覆盖 wp-config.php 文件里面的对应内容；

2、把 $table_prefix = ‘wp_’; 的“wp_”改成别的，例如“ wp_xxx”；

3、如果您的服务器有 SSL 加密，添加以下代码到 wp-config.php 文件：

define(’FORCE_SSL_ADMIN’, true);

4、您也可以根据 WordPress Codex 对其他部分进行修改。

 

防黑措施三：移动 wp-config.php 文件

 

把 wp-config.php 文件移到 WordPress 所在目录的上一级目录。

 

防黑措施四：保护 wp-config.php 文件

 

如果您把 wp-config.php 移到 A 文件夹，那么就在 A 文件夹创建一个 .htaccess 文件并添加以下代码：

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

求教：

我在 Nakedlife.cn 上试过，结果是除了主页，其他所有的页面都不能访问，为什么呢？

 

防黑措施五：删除 admin 账户

 

首先，创建另外一个管理员帐号，比如 essentialblog；

接着，登出 WordPress；

然后，以新帐号 essentialblog 登入；

最后，删除 admin 帐号，在删除之前要注意选择把所有的文章和链接都分配到 essentialblog 帐号。

 

防黑措施六：设置强密码

 

在 WordPress 控制面板的个人资料（Profile)页面填一个能够显示“Strong”的密码。

 

防黑措施七：保护 wp-admin 文件夹

 

1、把 Htpasswd generator 生成的内容添加到 .htpasswd 文件；

2、把 htaccess-authentication 生成的内容添加到 .htaccess 文件。

求教：

作者说 wp-admin 文件夹里面有 .htpasswd 和 .htaccess 这两个文件，但是我没有发现，自行添加之后却无法登陆 WordPress 后台，为什么呢？

 

防黑措施八：在登录页面设置错误警告

 

在博客主题的 function.php 文件夹添加以下代码：

add_filter(‘login_errors’,create_function(‘$a’, "return null;"));

防黑措施九：限制错误登录的次数

 

通过 Login LockDown 插件或者 Limit Login Attempts 插件，设定允许登录资料填错的次数。

 

防黑措施十：保持软件的更新

 

1、保持您的 WordPress 版本是最新的；

2、保证您的 WordPress 插件是最新的；

3、插件能不用的就不用，多一个插件其实就多一个安全隐患。

请记得您修改了 wordpress 文件夹里面的哪些内容并备份，以便下次更新的时候用。

上面就是关于 10 个防黑措施的“所以然”，如果您想知道“之所以然”，请看原文 。

第四和第七这两个方法我没有试验成功，您如果知道答案，欢迎分享。