水星博客 - 数字时代 To digi

　　写博客最心烦的就是被攻击、破解或者网页被插入恶意代码。对于使用WordPress的个人博客来说，有必要进行一些基本的设置，来保障网站的安全。

• 保持WordPress的版本更新

　　通常WordPress的每一次更新，都会对上一版本的安全问题做改进，保持版本的更新，对博客的安全更有保障。如果对官方的更新比较在意的话，可以订阅WordPress开发博客。但WordPress依然有一些结构和设计的潜在问题，需要手动的进行设置。

• 隐藏WordPress版本

　　不同的版本，可能有不同的漏洞。隐藏WordPress的版本，能避免被针对性的攻击。版本信息出现在使用主题的header.php中，可能出现在两个地方。
一是文件中的：<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />代码
直接删除即可
二是文件中的<?php wp_head(); ?>函数，因为涉及有其他内容，不要直接删除。找到主题中的functions.php文件，在最后添加一下代码即可：
<?php remove_action(’wp_head’,'wp_generator’); ?>

• 帐号安全设置

　　管理帐号的安全是最重要的，WordPress的默认管理员用户是admin，比较容易被暴力破解。简单的设置方法是创建一个新用户，将其设置为管理员权限，然后用新用户登录，删除老的admin帐号，这就能避免轻易的被破解。同时可以安装登录安全的插件，限制反复登录失败的IP。

• 避免插件目录被显示

　　WordPress的默认设置是，安装插件到/wp-content/plugins/目录下，一般直接浏览这个目录会列出所有安装的插件名，而一些黑客可以利用已知插件的漏洞进行攻击，所以可以创建一个空的index.html文件放到这个目录下，避免插件被直接显示出来。

• 确保/wp-admin/文件夹的安全

　　WordPress的很多重要信息都放在/wp-admin/文件夹里面。可以通过限定IP地址访问WordPress管理员文件夹来进行保护。方法是：在/wp-admin/文件夹里面建立一个.htaccess文件，写入代码：

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Example Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx（允许的IP）
allow from xx.xx.xxx.xx（允许的IP）
</LIMIT>

• 禁止系统文件被收录

　　很多WordPress系统文件不需要被搜索引擎收录，因此，修改robots.txt文件，增加一行Disallow: /wp-*

• 数据库安全

　　数据表最好不要使用默认的wp_开头，并且应该定期备份你的数据库。