推薦：禁止 WordPress 核心程序更新提示
WordPress 的核心程序更新提示功能，是從 WordPress 2.3 開始增加的特色功能；在 WordPress 2.5 中，仍然有此功能。當(dāng)你有新的 WordPress 版本發(fā)布的時(shí)候，在你的管理后臺(tái)就會(huì)看到新版 WordPress 已經(jīng)發(fā)布，提示你即使更新。 這是 WordPress 的核心功能之一。但是，對(duì)

使用使用WordPress系統(tǒng)的blogger在不斷的日增，我發(fā)現(xiàn)國(guó)內(nèi)基本上還沒有多少的blogger關(guān)于WordPress的安全性問題，當(dāng)然 WordPress是一個(gè)優(yōu)秀的博客系統(tǒng)，安全性也算是比較高，但是無論怎么樣，在功能性，舒適性之前，最先考慮的其實(shí)是安全性。尤其是在一個(gè)人成功的使用WordPress獲得成功（高知名度，高IP/PV等）時(shí)，也許會(huì)有心懷不軌的人想盡一切辦法黑掉或者把數(shù)據(jù)破壞等非法的事情。下面我把 Noupe 提出的10條安全性建議翻譯出來供大家參考：

1. 不允許任何人搜索到你的服務(wù)器信息

1).不要在Search.php文件中使用這些搜索代碼 from WPDesigner.com
例如： <?phpecho$_SERVER['PHP_SELF']; ?>

請(qǐng)使用下面的代碼代替上面的代碼： <?phpbloginfo('home'); ?>

2).阻止搜索引擎（搜索爬蟲）搜索以WP-為開頭的文件夾里面的文件。最方面的阻止方法就是在博客根目錄建立robots.txt文件，并在里面添加：Disallow: /wp-*

2. 不要把目錄以網(wǎng)頁(yè)列表的形式暴露出來

WordPress有一個(gè)潛在性的問題可以使得其他用戶查看你的博客的插件目錄以及版本號(hào)。你可以嘗試的在你的博客上后加上"/wp-content/plugins/"看看效果。例如，你的博客地址是：
http://www.icyleaf.com
加上之后就為：
http://www.icyleaf.com/wp-content/plugins/

是不是可以顯示出來，同樣的我測(cè)試了下，themes文件夾也可以顯示的。

解決方案有2種，第一就是在plugins和themes文件夾下面分別建一個(gè)名為index.htm的空文件即可；第二是在.htaccess文件添加下面的參數(shù)即可：
Options All -Indexes

3. 把你的版本號(hào)從Meta標(biāo)簽中刪除掉

一般來說，默認(rèn)的WordPrss以及網(wǎng)友制作的主題的header.php文件都會(huì)有你使用的WordPress版本號(hào)的meta標(biāo)簽（下面）。這極易有可能你因沒有及時(shí)升級(jí)因舊版本暴露的漏洞讓黑客們利用。建議刪除掉這個(gè)標(biāo)簽。這里還有 Matt Cutts 提出的不錯(cuò)建議。

<meta name="generator"content="WordPress <?php bloginfo('version'); ?>" />

翻譯者按：為什么網(wǎng)友制作的主題也會(huì)添加這個(gè)標(biāo)簽?zāi)兀�主要是默認(rèn)版本的在這個(gè)標(biāo)簽的后面有一個(gè)注解： <!-- leave thisforstats -->

4. 捍衛(wèi)你的wp-admin文件夾

攻擊者常常會(huì)使用一些暴力破解軟件或者利用社會(huì)工程學(xué)來破解WordPress用戶設(shè)置的弱口令（簡(jiǎn)單，常用的密碼）。下面收集了防范的一些方法可以有效的阻止這種事情發(fā)生。

翻譯者按：一個(gè)強(qiáng)而復(fù)雜的密碼是就是非常強(qiáng)悍的防范措施了：）

1).通過限制IP地址訪問wp-admin文件夾

此方法是用在.htaccess文件添加某些配置來限制某些具體的IP地址訪問wp-admin文件夾

2).AskApache Password Protect

這是一個(gè)WordPress插件的名字，非常的簡(jiǎn)單好用，它可以為訪問wp-admin文件夾的用戶設(shè)置一個(gè)二級(jí)密碼保護(hù)同時(shí)也把信息寫在.htaccess文件中，只有輸入正確的用戶名和密碼就才能訪問后臺(tái)。點(diǎn)擊這里直接下載試用吧！

3).Login Lockdown plugin

同樣也是一個(gè)WordPress插件，他的好處就在于，他可以記錄每一次登陸失敗時(shí)使用者的IP地址和登錄時(shí)間。當(dāng)達(dá)到你設(shè)定的失敗次數(shù)，插件的特定函數(shù)會(huì)阻止此IP地址的使用者繼續(xù)登錄操作。

5. 注意保持及時(shí)更新

你最好需要保證你的插件，主題以及使用的WordPress的版本的不斷更新，這里建議你訂閱你使用的插件，主題作者的博客以保證及時(shí)獲得最新的更新消息。

6. 定期備份博客的數(shù)據(jù)庫(kù)

這是一個(gè)持久的事情，你需要經(jīng)常性的或者定期性的備份你博客的數(shù)據(jù)庫(kù)，對(duì)于數(shù)據(jù)庫(kù)的備份我們可以使用 WordPress Database Backup 插件來完成定期備份。

翻譯者按：我使用的是 WP-DBManager 插件（使用方法），同樣也可以實(shí)現(xiàn)定期備份。

7. 升級(jí)你的WordPress為最新版本

也許這才是第一件要做的事情，呵呵(^___^)。在升級(jí)之前一定要備份好一些數(shù)據(jù)和你認(rèn)為改備份的東西，至于升級(jí)可以使用 Instant Upgrade 插件 或者 Wordpress Automatic Upgrade插件來完成。

8. 使用SSH/Shell方式代替FTP登錄操作

這里有一些很好的建議，點(diǎn)擊這里查看。如果某人獲得了你的FTP的登錄信息（當(dāng)然包括密碼咯），他們就可以在登錄后胡作非為的，這是很可怕的事情哦...而使用SSH/Shell你就大可放心，因?yàn)樗麄兊娜魏蝹鬏敹际峭ㄟ^加密的，保證安全性！

翻譯者按： 其實(shí)像FlashFXP這類的軟件其安全性很差的，很容易就能獲得你保存的個(gè)人登錄信息。點(diǎn)這里下載Putty客戶端（里面我添加了一些常用的Shell命令的幫助信息）。其實(shí)它的操作一切按照Linux下面的命令：）

9.不要再擔(dān)憂你的wp-config.php文件

通過在.htaccess文件添加下面的配置會(huì)使你的wp-config.php文件里面的配置信息（數(shù)據(jù)庫(kù)地址，用戶名和密碼）更加安全可靠。

<filesmatch>deny from all</filesmatch>

10. 為你的WordPress用戶設(shè)置一個(gè)強(qiáng)悍的密碼

翻譯者按：這段我就不過多翻譯了，因?yàn)槲乙矊戇^這方面的文章（《黑客手冊(cè)》某期，不好意思我忘記是哪期了），這里我就以我的思路給大家一些方法。

大家都知道一個(gè)強(qiáng)悍的密碼應(yīng)包括字母，數(shù)字和一些特殊符號(hào)組成，如果你設(shè)置了一個(gè)Sfd@#35，這個(gè)誰(shuí)也記不著。其實(shí)一個(gè)強(qiáng)悍的密碼看著復(fù)雜如果你知道了敲門其實(shí)一點(diǎn)也不難記憶，而且非常有規(guī)律，這里我舉一個(gè)最簡(jiǎn)單的例子： 1+1=two

是不是很簡(jiǎn)單，1+1=2這是很簡(jiǎn)單的數(shù)學(xué)算式，小學(xué)一年級(jí)的都會(huì)的（現(xiàn)在的小學(xué)一年級(jí)有英語(yǔ)了吧，就算沒有學(xué)前教育的父母也應(yīng)該逼著他們學(xué)了吧）。這個(gè)密碼完全符合一個(gè)強(qiáng)悍的密碼的定義。再例如：
zxasqw12`

或許猛的一看，這個(gè)是什么呀，沒什么規(guī)律嘛，其實(shí)你安裝這個(gè)密碼自己嘗試下就明白了，這個(gè)方法我稱之為鍵盤分布法。另外還有所問非所答法，例如：

1+1=one

1+2=twelve

1+1=ten

方法還有很多，發(fā)揮你的想象力，總會(huì)出現(xiàn)奇跡的！

分享：如何確保您的WordPress沒有被黑
最近WordPress舊版本被黑得很頻繁。黑客很多時(shí)候會(huì)修改您的主題文件并插入垃圾鏈接。我的一個(gè)沒有更新的舊博客就遇到這樣的問題，使用IM聊天時(shí)，一些朋友也向我抱怨這樣的問題。 所以我建議您盡快對(duì)您的WordPress進(jìn)行檢查，確保它沒有受到威脅。 如何發(fā)現(xiàn)WordPress被黑