10 招提高你的 WordPress 安全性

使用使用 WordPress 系統的 blogger 在不斷的日增，我發現國內基本上還沒有多少的 blogger 關於 WordPress 的安全性問題，當然 WordPress 是一個優秀的博客系統，安全性也算是比較高，但是無論怎麼樣，在功能性，舒適性之前，最先考慮的其實是安全性。尤其是在一個人成功的使用 WordPress 獲得成功 （高知名度，高 IP/PV 等） 時，也許會有心懷不軌的人想盡一切辦法黑掉或者把數據破壞等非法的事情。下面我把 Noupe 提出的 10 條安全性建議翻譯出來供大家參考：

1. 不允許任何人搜索到你的服務器信息

1). 不要在 Search.php 文件中使用這些搜索代碼 from WPDesigner.com
例如： <?phpecho$_SERVER['PHP_SELF']; ?>

請使用下面的代碼代替上面的代碼： <?phpbloginfo('home'); ?>

2). 阻止搜索引擎 （搜索爬蟲） 搜索以 WP-為開頭的文件夾裏面的文件。最方面的阻止方法就是在博客根目錄建立 robots.txt 文件，並在裏面添加：Disallow: /wp-*

2. 不要把目錄以網頁列表的形式暴露出來

WordPress 有一個潛在性的問題可以使得其他用户查看你的博客的插件目錄以及版本號。你可以嘗試的在你的博客上後加上"/wp-content/plugins/"看看效果。例如，你的博客地址是：
http://www.icyleaf.com
加上之後就為：
http://www.icyleaf.com/wp-content/plugins/

是不是可以顯示出來，同樣的我測試了下，themes 文件夾也可以顯示的。

解決方案有 2 種，第一就是在 plugins 和 themes 文件夾下面分別建一個名為 index.htm 的空文件即可；第二是在.htaccess 文件添加下面的參數即可：
Options All -Indexes

3. 把你的版本號從 Meta 標籤中刪除掉

一般來説，默認的 WordPrss 以及網友製作的主題的 header.php 文件都會有你使用的 WordPress 版本號的 meta 標籤 （下面） 。這極易有可能你因沒有及時升級因舊版本暴露的漏洞讓黑客們利用。建議刪除掉這個標籤。這裏還有 Matt Cutts 提出的不錯建議。

<meta name="generator"content="WordPress <?php bloginfo('version'); ?>" />

翻譯者按：為什麼網友製作的主題也會添加這個標籤呢，主要是默認版本的在這個標籤的後面有一個註解： <!-- leave thisforstats -->

4. 捍衞你的 wp-admin 文件夾

攻擊者常常會使用一些暴力破解軟件或者利用社會工程學來破解 WordPress 用户設置的弱口令 （簡單，常用的密碼） 。下面收集了防範的一些方法可以有效的阻止這種事情發生。

翻譯者按：一個強而複雜的密碼是就是非常強悍的防範措施了：）

1). 通過限制 IP 地址訪問 wp-admin 文件夾

此方法是用在.htaccess 文件添加某些配置來限制某些具體的 IP 地址訪問 wp-admin 文件夾

2).AskApache Password Protect

這是一個 WordPress 插件的名字，非常的簡單好用，它可以為訪問 wp-admin 文件夾的用户設置一個二級密碼保護同時也把信息寫在.htaccess 文件中，只有輸入正確的用户名和密碼就才能訪問後台。點擊這裏直接下載試用吧！

3).Login Lockdown plugin

同樣也是一個 WordPress 插件，他的好處就在於，他可以記錄每一次登陸失敗時使用者的 IP 地址和登錄時間。當達到你設定的失敗次數，插件的特定函數會阻止此 IP 地址的使用者繼續登錄操作。

5. 注意保持及時更新

你最好需要保證你的插件，主題以及使用的 WordPress 的版本的不斷更新，這裏建議你訂閲你使用的插件，主題作者的博客以保證及時獲得最新的更新消息。

6. 定期備份博客的數據庫

這是一個持久的事情，你需要經常性的或者定期性的備份你博客的數據庫，對於數據庫的備份我們可以使用 WordPress Database Backup 插件來完成定期備份。

翻譯者按：我使用的是 WP-DBManager 插件 （使用方法），同樣也可以實現定期備份。

7. 升級你的 WordPress 為最新版本

也許這才是第一件要做的事情，呵呵 (^___^) 。在升級之前一定要備份好一些數據和你認為改備份的東西，至於升級可以使用 Instant Upgrade 插件 或者 WordPress Automatic Upgrade 插件來完成。

8. 使用 SSH/Shell 方式代替 FTP 登錄操作

這裏有一些很好的建議，點擊這裏查看。如果某人獲得了你的 FTP 的登錄信息 （當然包括密碼咯），他們就可以在登錄後胡作非為的，這是很可怕的事情哦... 而使用 SSH/Shell 你就大可放心，因為他們的任何傳輸都是通過加密的，保證安全性！

翻譯者按： 其實像 FlashFXP 這類的軟件其安全性很差的，很容易就能獲得你保存的個人登錄信息。點這裏下載 Putty 客户端 （裏面我添加了一些常用的 Shell 命令的幫助信息） 。其實它的操作一切按照 Linux 下面的命令：）

9. 不要再擔憂你的 wp-config.php 文件

通過在.htaccess 文件添加下面的配置會使你的 wp-config.php 文件裏面的配置信息 （數據庫地址，用户名和密碼） 更加安全可靠。

<filesmatch>deny from all</filesmatch>

10. 為你的 WordPress 用户設置一個強悍的密碼

翻譯者按：這段我就不過多翻譯了，因為我也寫過這方面的文章 （《黑客手冊》 某期，不好意思我忘記是哪期了），這裏我就以我的思路給大家一些方法。

大家都知道一個強悍的密碼應包括字母，數字和一些特殊符號組成，如果你設置了一個 Sfd@#35，這個誰也記不着。其實一個強悍的密碼看着複雜如果你知道了敲門其實一點也不難記憶，而且非常有規律，這裏我舉一個最簡單的例子： 1+1=two

是不是很簡單，1+1=2 這是很簡單的數學算式，小學一年級的都會的 （現在的小學一年級有英語了吧，就算沒有學前教育的父母也應該逼着他們學了吧） 。這個密碼完全符合一個強悍的密碼的定義。再例如：
zxasqw12`

或許猛的一看，這個是什麼呀，沒什麼規律嘛，其實你安裝這個密碼自己嘗試下就明白了，這個方法我稱之為鍵盤分佈法。另外還有所問非所答法，例如：

1+1=one

1+2=twelve

1+1=ten

方法還有很多，發揮你的想象力，總會出現奇蹟的！