杂粮博

今天看到好友xiaoG的博客上有篇3个技巧打造安全的wordpress，感觉wordpress的安全问题还是值得关注的，网上收集了相关资料，再结合自己的一些经验，讲下要注意的地方：

1、WordPress程序要保持是更新的稳定版本

现在WordPress的最新版本号是2.3.2，你已经升级了吗？WordPress程序难免会有漏洞，官方在不断的进行更新、完善，除了增加新的功能外，更为重要的是会及时修补安全隐患。而升级WordPress也并不是一件可怕的事，只要细心操作即可。最重要的是备份数据，哪怕在升级中出了什么状况也能回头，防止数据丢失。

数据备份的工具很多，比如phpadmin，我那个cPanel管理后台也可以操作，还有就是EMS SQL Manager 2007 for MySQL v4.121(破解补丁找不到问我要)，当然，我最喜欢的就是装个wp-db-backup插件，让他自己每天备份，省力。

2、保护WordPress的wp-admin

WordPress的管理后台全部在这个文件夹下，而默认这个文件夹是开放的，这就带来了很大的隐患！一个有效可行的办法就是锁定/wp-admin/文件夹，这个可以通过修改.htaccess来设置权限，.htaccess的内容可以参考下面：

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
allow from 45.157.124.143
allow from 77.88.99.233

不过这种方法并不适合所有人，比如我是ADSL上网的，IP经常在变，这种方法就不好了。

这里就给给大家介绍一个安全插件：Login LockDown. 它会自动监视你登录博客的的情况，如果有同一个IP地址在短时间内多次试图登录你的博客，这个插件就会锁定这个IP使其无法登陆，这样就可以有效的避免别人通过猜测你的密码来进入你的博客。

还有，在每次升级WordPress后，一定要把install.php文件删去！

3、wp-config.php文件

还要注意，wp-config.php这个文件的访问权限要设成只读，否则人家可能把他改掉就惨了！

4、隐藏你的插件

WordPress插件易开发性导致门槛不是很高，很多都存在缺陷和漏洞，这些缺陷和漏洞如果给人利用，就会破坏您的网站，所以，您最好不要被别人知道您装了什么插件。

大家可以尝试一下访问很多博客的 /wp-content/plugins/文件夹，就会看到他们正在使用的全部插件的列表，为了隐藏这个列表，我们可以在plugins文件夹下建一个index.html文件来，这样别人就会默认访问这个文件从而隐藏了你的插件列表。

5、删除默认的admin用户

WordPress中的默认管理员为admin。在这里建议大家在blog建成后，新建一个新的用户并设置为最高的管理权限，然后把admin删除。否则别人知道的用户名是admin，就比较容易破解你的密码。最好是建一个用户A是最高管理员，把admin删掉，然后建一个只有编辑或者作者权限的用户专门来编辑跟写文章。

6、垃圾评论

垃圾评论的害处我想就不用说了，而且它们更有可能带有一些危害你网站的代码什么的，所以一定要把垃圾评论过滤掉。推荐两个非常优秀的插件：Akismet、Spam Karma 2

7、删除wordpress的版本信息

这个应该跟第一点结合起来，知道你的版本号之后就会知道你这个版本有哪些漏洞，容易攻击者利用，一般主题的header.php或者footer.php会包含以下的版本信息，请把它删去。

8、不要在第三方站点下载WordPress 主题模板

Derek，一位国外的网站设计师，在自己的博客上提醒所有blogger “Do not download WordPress themes distributed by 3rd party sites“（不要在第三方站点下载WordPress 主题模板）。因为他发现自己制作的模板被某站点（WP Sphere）提供下载打包文件中，header.php 文件被嵌入了恶意代码。因此建议大家一定要到模板的官方或作者提供的页面下载。

还有，下载的时候尽量右键另存为，不要用迅雷，反正主题模版文件比较小，迅雷的话，容易找到其他被人修改过的资源进行下载。