10 招提高你的 WordPress 安全性

使用使用 WordPress 系統的 blogger 在不斷的日增，我發現國內基本上還沒有多少的 blogger 關於 WordPress 的安全性問題，當然 WordPress 是一個優秀的部落格系統，安全性也算是比較高，但是無論怎麼樣，在功能性，舒適性之前，最先考慮的其實是安全性。尤其是在一個人成功的使用 WordPress 獲得成功 （高知名度，高 IP/PV 等） 時，也許會有心懷不軌的人想盡一切辦法黑掉或者把資料破壞等非法的事情。下面我把 Noupe 提出的 10 條安全性建議翻譯出來供大家參考：

1. 不允許任何人搜尋到你的伺服器資訊

1). 不要在 Search.php 檔案中使用這些搜尋程式碼 from WPDesigner.com
例如： <?phpecho$_SERVER['PHP_SELF']; ?>

請使用下面的程式碼代替上面的程式碼： <?phpbloginfo('home'); ?>

2). 阻止搜尋引擎 （搜尋爬蟲） 搜尋以 WP-為開頭的資料夾裡面的檔案。最方面的阻止方法就是在部落格根目錄建立 robots.txt 檔案，並在裡面新增：Disallow: /wp-*

2. 不要把目錄以網頁列表的形式暴露出來

WordPress 有一個潛在性的問題可以使得其他使用者檢視你的部落格的外掛目錄以及版本號。你可以嘗試的在你的部落格上後加上"/wp-content/plugins/"看看效果。例如，你的部落格地址是：
http://www.icyleaf.com
加上之後就為：
http://www.icyleaf.com/wp-content/plugins/

是不是可以顯示出來，同樣的我測試了下，themes 資料夾也可以顯示的。

解決方案有 2 種，第一就是在 plugins 和 themes 資料夾下面分別建一個名為 index.htm 的空檔案即可；第二是在.htaccess 檔案新增下面的引數即可：
Options All -Indexes

3. 把你的版本號從 Meta 標籤中刪除掉

一般來說，預設的 WordPrss 以及網友製作的主題的 header.php 檔案都會有你使用的 WordPress 版本號的 meta 標籤 （下面） 。這極易有可能你因沒有及時升級因舊版本暴露的漏洞讓駭客們利用。建議刪除掉這個標籤。這裡還有 Matt Cutts 提出的不錯建議。

<meta name="generator"content="WordPress <?php bloginfo('version'); ?>" />

翻譯者按：為什麼網友製作的主題也會新增這個標籤呢，主要是預設版本的在這個標籤的後面有一個註解： <!-- leave thisforstats -->

4. 捍衛你的 wp-admin 資料夾

攻擊者常常會使用一些暴力破解軟體或者利用社會工程學來破解 WordPress 使用者設定的弱口令 （簡單，常用的密碼） 。下面收集了防範的一些方法可以有效的阻止這種事情發生。

翻譯者按：一個強而複雜的密碼是就是非常強悍的防範措施了：）

1). 透過限制 IP 地址訪問 wp-admin 資料夾

此方法是用在.htaccess 檔案新增某些配置來限制某些具體的 IP 地址訪問 wp-admin 資料夾

2).AskApache Password Protect

這是一個 WordPress 外掛的名字，非常的簡單好用，它可以為訪問 wp-admin 資料夾的使用者設定一個二級密碼保護同時也把資訊寫在.htaccess 檔案中，只有輸入正確的使用者名稱和密碼就才能訪問後臺。點選這裡直接下載試用吧！

3).Login Lockdown plugin

同樣也是一個 WordPress 外掛，他的好處就在於，他可以記錄每一次登陸失敗時使用者的 IP 地址和登入時間。當達到你設定的失敗次數，外掛的特定函式會阻止此 IP 地址的使用者繼續登入操作。

5. 注意保持及時更新

你最好需要保證你的外掛，主題以及使用的 WordPress 的版本的不斷更新，這裡建議你訂閱你使用的外掛，主題作者的部落格以保證及時獲得最新的更新訊息。

6. 定期備份部落格的資料庫

這是一個持久的事情，你需要經常性的或者定期性的備份你部落格的資料庫，對於資料庫的備份我們可以使用 WordPress Database Backup 外掛來完成定期備份。

翻譯者按：我使用的是 WP-DBManager 外掛 （使用方法），同樣也可以實現定期備份。

7. 升級你的 WordPress 為最新版本

也許這才是第一件要做的事情，呵呵 (^___^) 。在升級之前一定要備份好一些資料和你認為改備份的東西，至於升級可以使用 Instant Upgrade 外掛 或者 WordPress Automatic Upgrade 外掛來完成。

8. 使用 SSH/Shell 方式代替 FTP 登入操作

這裡有一些很好的建議，點選這裡檢視。如果某人獲得了你的 FTP 的登入資訊 （當然包括密碼咯），他們就可以在登入後胡作非為的，這是很可怕的事情哦... 而使用 SSH/Shell 你就大可放心，因為他們的任何傳輸都是透過加密的，保證安全性！

翻譯者按： 其實像 FlashFXP 這類的軟體其安全性很差的，很容易就能獲得你儲存的個人登入資訊。點這裡下載 Putty 客戶端 （裡面我新增了一些常用的 Shell 命令的幫助資訊） 。其實它的操作一切按照 Linux 下面的命令：）

9. 不要再擔憂你的 wp-config.php 檔案

透過在.htaccess 檔案新增下面的配置會使你的 wp-config.php 檔案裡面的配置資訊 （資料庫地址，使用者名稱和密碼） 更加安全可靠。

<filesmatch>deny from all</filesmatch>

10. 為你的 WordPress 使用者設定一個強悍的密碼

翻譯者按：這段我就不過多翻譯了，因為我也寫過這方面的文章 （《駭客手冊》 某期，不好意思我忘記是哪期了），這裡我就以我的思路給大家一些方法。

大家都知道一個強悍的密碼應包括字母，數字和一些特殊符號組成，如果你設定了一個 Sfd@#35，這個誰也記不著。其實一個強悍的密碼看著複雜如果你知道了敲門其實一點也不難記憶，而且非常有規律，這裡我舉一個最簡單的例子： 1+1=two

是不是很簡單，1+1=2 這是很簡單的數學算式，小學一年級的都會的 （現在的小學一年級有英語了吧，就算沒有學前教育的父母也應該逼著他們學了吧） 。這個密碼完全符合一個強悍的密碼的定義。再例如：
zxasqw12`

或許猛的一看，這個是什麼呀，沒什麼規律嘛，其實你安裝這個密碼自己嘗試下就明白了，這個方法我稱之為鍵盤分佈法。另外還有所問非所答法，例如：

1+1=one

1+2=twelve

1+1=ten

方法還有很多，發揮你的想象力，總會出現奇蹟的！