9种增强WordPress安全性的方法

对于WordPress博客的数据，有这么一句话：不是WordPress博客数据不重要，是没尝过丢失的滋味。

有些朋友可能有这种经历：访问一个站的时候，会出现提示：This site may harm your computer（这个网站可能会伤害你的电脑），而且是红色背景，这种被判定为不允许访问的站点，一般都是被黑客入侵过的。

这篇文章的主要目的是提醒大家，把日常一些不注意的，容易疏忽的可以引起WordPress安全隐患的给提出来，希望各位能检查一下自己的博客，毕竟，谁都不希望出现“XXX”门。

一，保证WordPress数据库安全

有些朋友需要把数据库合用，几个程序使用一个数据库，这种习惯是不好的，首先会造成单一数据库很臃肿，其次是备份起来也很麻烦，最后是如果有问题，都可能挂掉。在创建WordPress数据库的过程中，要遵循一下原则：

• 使用独立的数据库。
• 给数据库用户设置合理的访问权限。使用国外Cpanel类WordPress主机的朋友都清楚，在把数据库用户添加到数据库的时候，有一个权限选择的页面，在以前，可能大家都是全选，但现在，需要告诉各位的是，最好只勾选一下权限：选择，生成，插入，更改，更新，丢弃，删除。在操作的时候，可以参考Wopus提供的数据库权限设置图：
  
• 给数据库设置一个强悍的密码。最高的境界是，自己不记得密码是多少，而且Cpanel类WordPress空间会生成很复杂的密码，也会检测并报告密码的强壮度。

二，加固wp-config.php文件

每隔一段时间，最好检查一下自己的wp-config.php文件，而且不要只检查数据库配置那块，wp-config.php里的每行代码都值得观看。

从WordPress 2.6开始，为了能保证Cookies的安全性，WordPress开始在wp-config.php里加入 WordPress secret key，并且提供了官方生成工具：WordPress secret key generation tool。

除此之外，在安装WordPress的时候，也记得修改一下WordPress数据库的前缀，替换到默认的wp_，至于修改成啥样的，那就是越难记住越好，但不要有太多的字符。

三，不用使用默认的WordPress帐户。

安装WordPress成功之后，生成的默认的用户名是 admin，登陆到后台之后，第一件事情不是去修改密码，而是从新建一个管理员，然后把admin帐户删除。可以直接在WordPress后台完成，新建管理员帐户的时候，密码设置可以强悍一些。
除此之外，定期修改管理员帐户的密码也是一个好的习惯，现在的浏览器，以Firefox和Chrome为主，不但恶意记住密码，还能显示密码，所以各位如果电脑经常暴露在人群中，保存密码就要多留一个心眼了。

四，及时更新WordPress到最新版

某位顶级黑客在谈到如果做好电脑安全的时候，就一句话：有安全补丁就及时更新。这句话对WordPress同样使用，从WordPress 2.5开始，WordPress的更新速度逐渐越来越快，但有一些都是被动更新的，因为有安全漏洞，不管如何，及时更新WordPress到最新版本。目前WordPress官方最新版本是 2.8.5。至于如何第一时间获得WordPress最新的消息，多多关注Wopus就就可以了。

五，经常备份WordPress程序及数据库

俗话说的好，有备无患。Wopus这里主要给备份的原则：WordPress程序修改了就备份，不修改不用备份；数据库可以根据的频率备份，每周备份一次是一个不错的选择，当然如果数据量特别大，每天或者每两天备份一次都可以。
WordPress备份的方法是多种多样，这里有几篇Wopus曾经发布过的关于数据备份的文章。

如何进行Wordpress的日常备份：https://www.wopus.org/wordpress-deepin/tech/40.html

WordPress完美备份数据方法及教程：https://www.wopus.org/wordpress-deepin/tech/1009.html

Mysql较大数据库的备份与导入:https://www.wopus.org/wordpress-deepin/tech/1035.html

用Cronjob定时备份数据库并发送至邮箱： https://www.wopus.org/wordpress-deepin/tech/1151.html

六，保证任何一个目录都无法被访问

目前绝大多数的WordPress专业主机都能做到这一点，不多介绍，但是请注意，保证根目录下在的index.php文件的安全非常必要。

七，特别保护wp-admin目录

保护的方法可以通过在.htaccess里修改来完成，16个简单实用的.htaccess技巧（https://www.wopus.org/wordpress-deepin/tech/1271.html）

八，保护wp-content文件夹里的文件

WordPress的PHP文件是无法通过http访问的，所以，这里我们需要注意的是图片，附件，CSS和JS代码。保护的方法还是修改.htaccess。代码如下：
Order Allow,Deny
Deny from all

Allow from all


九，隐藏WordPress的版本号

这已经不知道是Wopus第几次提到这个问题了。这又是一篇新的文章，再说明一下原因，WordPress因为知名度越来越大，会被越来越多人关注，当然会有一些很厉害的人，他们也许读到了在WordPress的某个版本中还隐藏着安全隐患。这就是WordPress的漏洞，根据漏洞可以获得一些额外的东西，最严重的就是被入侵，数据全部丢失。

至于隐藏WordPress的版本号，一是希望各位不要在Footer的地方加上WordPress的版本代码，显示出来不好，第二，需要检查一下header.php文件，如果看到了有这行代码< ?php bloginfo(’version’); ?> ，记得去掉。

或者在主题文件function.php里加上：< ?php remove_action('wp_head', 'wp_generator'); ?>

如果您有其他关于增强WordPress安全性的建议，欢迎投稿给我们：https://www.wopus.org/tougao。您也可以留言发表对WordPress安全性的看法。