如何让 wp 更加安全

         大多数人不会在维护wp安装上耗费过多时间。 尽管如此，wp的安全问题仍然应该放在最重要的位置上。

服务器端和.htaccess

      保护WordPress网站安全的第一步自然是寻找安全的虚拟主机托管商。 服务器安全是所有安全措施的基础。

锁定.htaccess

    .htaccess文件有很多用途，但它最主要的功能，是防止黑客入侵。你可以在.htaccess文件里指定一些有权登录你的WordPress 后台的IP地址。

在.htaccess文件里加入下面的代码可以达到这个效果：

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName “Access Control”

AuthType Basic

order deny,allow

deny from all

#IP address to Whitelist

allow from 123.456.789.012

用你指定的IP地址代替其中的123.456.789.012。

禁用目录浏览

    一些服务器设置允许目录浏览，即你可以通过http://yoursite.com/wp-plugins/这样的链接看到自己的插件内容。 要禁用目录浏览，只需要在.htaccess文件里加上下面的代码：

Options All -Indexes

保护.htaccess

     .htaccess文件的安全保护不容忽视。 首先你可以将文件的权限改为CHMOD 644。通过FTP登录进入服务器，然后进入网站根目录（通常是public_html文件夹，除非你为WordPress另设了一个独立文件夹）。 找到.htaccess文件后右击文件，将权限设为644。第二种方法是在.htaccess文件的最下部分加上以下代码：

<Files wp-config.php>

Order Deny,Allow

Deny from All

</Files>

优化wp-config文件

    .htaccess文件之后接下来是wp-config.php文件。

移动wp-config文件

    从WordPress 2.6开始，WordPress用户可以将wp-config.php文件移到当前安装文件的上级文件夹中。 如果在当前WordPress目录下没有发现wp-config文件，WordPress会自动检查wp-config文件是否在其上层目录中。

更改WordPress表前缀

    安装时WordPress的默认表前缀是wp_。 刚刚安装完后要修改WordPress表前缀是件很容易的事，但当你的WordPress网站已经运行了一阵子时，修改表前缀就不是那么容易的事了。 WP Security Scan插件就是为了解决这个问题而出现的。 你可以用这个插件修改默认的表前缀。 这样攻击者在试图进入你的WordPress文件时就又多了一层障碍。

定义安全密钥

你可以在wp-config文件中看到下面的内容：

/**#@+

*Authentication Unique Keys.

* Change these to different unique phrases!

* You can generate these using the

{@link https://api.wordpress.org/secret-key/1.1/ WordPress.org secret-key service}

* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.

* @since 2.6.0

*/

define(‘AUTH_KEY’, ‘put your unique phrase here’);

define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);

define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);

define(‘NONCE_KEY’, ‘put your unique phrase here’);

/**#@-*/

代码中的链接给出了一套密钥规则，你可以用所给的规则来代替代码中的四行define规则。

WordPress安全插件

值得庆幸的是，WordPress拥有为数不少的安全插件。 下面只介绍一些最基础最重要的安全插件。

WP Security Scan插件

WP Security Scan插件会查看你的WordPress安装文件，看是否有安全漏洞并给出相应的意见。 该插件的查看范围包括：

1、密码

2、文件权限

3、数据库安全

4、版本号的隐藏

5、WordPress后台安全

6、从核心代码中移除WP Generator META标签

Login LockDown WordPress Security 安全插件

Login LockDown记录尝试登陆WordPress失败的所有IP地址和时间。 如果插件发现短时间内同一个IP段内多次登录失败，插件会对禁止该IP段内所有登录请求。 Login LockDown有效阻止了暴力破解密码。

Stealth Login插件

用户可以通过这款插件自定义登录、登出、注册所用的URL。

AntiVirus for WordPress插件

AntiVirus for WordPress是一款保护博客不被采集和垃圾评论入侵的有效插件。 这款插件的用途包括： 检测可能存在的平台漏洞、病毒感染、恶意链接等。AntiVirus for WordPress还可以给你发送邮件通知和白名单。安全预防措施

以下是一些简单的安全预防措施：

1、时将WordPress和插件都更新到最新版本

2、除不用的WordPress主题和插件

3、用安全程度较高的密码

4、使用“admin”为登录名

5、WordPress文件规定正确的文件许可权限

6、期备份WordPress数据库（可利用备份插件）