之前精博有翻译过 WordPress 的三个安全措施，对博客的安全有一定的帮助，但是，没有任何的措施是无懈可击的。为了更好地提升 WordPress 的安全系数，Smashing Magazine 折腾出了 10 个新的安全措施，这些措施主要是通过对 wp-admin 这个文件夹的加密来保障整个博客的安全——当然，原文作者也说了不能 100% 保证安全。

这 10 个措施通俗易懂，下面是简单的中文介绍——只介绍做法，不讲为什么这样做。

防黑措施一：重命名 wordpress 文件夹

您可以把 wordpress 文件夹重命名为 wordpress_live_Ts6K，然后再把 wordpress_live_Ts6K 文件夹上传到根目录下，结果在 WordPress 控制面板显示的 WordPress address(URL) 如下：

http://example.com/wordpress_live_Ts6K

防黑措施二：完善 wp-config.php 文件

1、点击登录 http://api.wordpress.org/secret-key/1.1/，然后把自动生成的代码复制下来并覆盖 wp-config.php 文件里面的对应内容；

2、把 $table_prefix = ‘wp_’; 的“wp_”改成别的，例如“ wp_xxx”；

3、如果您的服务器有 SSL 加密，添加以下代码到 wp-config.php 文件：

define(’FORCE_SSL_ADMIN’, true);

4、您也可以根据 WordPress Codex 对其他部分进行修改。

防黑措施三：移动 wp-config.php 文件

把 wp-config.php 文件移到 WordPress 所在目录的上一级目录。

防黑措施四：保护 wp-config.php 文件

如果您把 wp-config.php 移到 A 文件夹，那么就在 A 文件夹创建一个 .htaccess 文件并添加以下代码：

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

求教：

我在 Nakedlife.cn 上试过，结果是除了主页，其他所有的页面都不能访问，为什么呢？

防黑措施五：删除 admin 账户

首先，创建另外一个管理员帐号，比如 essentialblog；

接着，登出 WordPress；

然后，以新帐号 essentialblog 登入；

最后，删除 admin 帐号，在删除之前要注意选择把所有的文章和链接都分配到 essentialblog 帐号。

防黑措施六：设置强密码

在 WordPress 控制面板的个人资料（Profile)页面填一个能够显示“Strong”的密码。

防黑措施七：保护 wp-admin 文件夹

1、把 Htpasswd generator 生成的内容添加到 .htpasswd 文件；

2、把 htaccess-authentication 生成的内容添加到 .htaccess 文件。

求教：

作者说 wp-admin 文件夹里面有 .htpasswd 和 .htaccess 这两个文件，但是我没有发现，自行添加之后却无法登陆 WordPress 后台，为什么呢？

防黑措施八：在登录页面设置错误警告

在博客主题的 function.php 文件夹添加以下代码：

add_filter(’login_errors’,create_function(’$a’, “return null;”));

防黑措施九：限制错误登录的次数

通过 Login LockDown 插件或者 Limit Login Attempts 插件，设定允许登录资料填错的次数。

防黑措施十：保持软件的更新

1、保持您的 WordPress 版本是最新的；

2、保证您的 WordPress 插件是最新的；

3、插件能不用的就不用，多一个插件其实就多一个安全隐患。

请记得您修改了 wordpress 文件夹里面的哪些内容并备份，以便下次更新的时候用。

上面就是关于 10 个防黑措施的“所以然”，如果您想知道“之所以然”，请看原文。

第四和第七这两个方法我没有试验成功，您如果知道答案，欢迎分享。

没有相关文章

您或许已经知道，WordPress的很多重要信息都放在/wp-admin/文件夹里面。WordPress允许这个文件夹公开，因此，别人如果掌握这个文件夹里的文件，他或她就可以访问这些文件。

建议大家在/wp-admin/文件夹里面建立一个.htaccess文件，从而阻止除了您自己以外的所有IP的访问。＜/p＞

以下是.htaccess中需要包括的代码：

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Example Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx（填写您自己的IP——精博注）
allow from xx.xx.xxx.xx（填写您自己的IP——精博注）
</LIMIT>

2 隐藏您的插件

许多WordPress插件都存在缺陷和漏洞，这些缺陷和漏洞如果给人利用，就会破坏您的网站，所以，您最不想发生的就是被别人知道您装了什么插件。

如果您访问大多数博客的/wp-content/plugins/文件夹，您将可以看到这些博客使用的所有插件。为了隐藏您的插件，您只需要在/wp-content/plugins/文件夹里建立一个index.html的空白文件。

3 坚持安装补丁和更新

许多博客或许都已经这样做了。保持WordPress的更新就会相安无事。建议大家可以订阅WordPress开发博客。

最后的附加措施是，去掉网页标头（header）的WordPress版本的元标识（Meta tag)。

您还知道WordPress需要哪些安全措施吗？

更新：冲浪的时候，我发现一个叫做Login LockDown的WordPress插件，这个插件主要的功能是跟踪网站登录次数。如果同一个IP地址在短时间内的登录次数太频繁，这个插件就会禁止那个IP的登录。这对避免密码被强行破解很有用。

精博寄语：

1 原文：3 Must Apply Security Tips for WordPress

2 原文作者：每日博客技巧的Daniel。

3 关于第一点，Matt是这样写的：

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName “Access Control”

AuthType Basic

<LIMIT GET>

order deny,allow

deny from all

# whitelist home IP address

allow from 64.233.169.99

# whitelist work IP address

allow from 69.147.114.210

allow from 199.239.136.200

# IP while in Kentucky; delete when back

allow from 128.163.2.27

</LIMIT>

4 关于附加措施，Matt原文是说把下面代码删掉：

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

或者至少删掉<?php bloginfo(’version’); ?>。

5 可见，每日博客技巧的转载也有一套。

6 如果您经常在不同的地方使用WordPress,IP有好几个，那么，第一点应用起来就有点麻烦。

没有相关文章

没有相关文章