确保WordPress程序网站安全的10个做法

作为全球使用最多的CMS网站系统，Wordpress的安全性也是值得大家关注的，虽然经历过这么多年的发展完善更新，但是还是有不少的漏洞在被所谓的专业人士研究，因为一旦被研究出来会显得他们的技术很厉害。这也是为什么WP官方 会非常勤快的更新程序。这篇文章是老董经过这几年使用WORDPRESS程序过程中，整理的比较好的10个技巧，可以确保在一定程度上我们的WP程序类的网站是安全的。

第一、及时更新升级

WordPress官方会定期根据程序的完善信息以及安全问题升级最新的程序，默认的情况下在我们登陆网站后台看到有更新提示，我们只需要根据向导就升级最新版本就可以。这里需要有一个问题注意的，有些用户直接屏蔽的更新提醒，这个需要我们及时更新的，需要在第一时间更新，因为有很多人都是专门的在扫WP的漏洞。

第二、没有激活的主题和插件

如果有不用的主题和插件，最好删除掉。因为很多时候插件和主题也是有漏洞的，而且如果插件和主题有升级更新也需要跟程序一样及时的升级。尤其是那些商业主题，有很多的安全问题，所以我们在建站使用到的主题和插件最好是在平台下载的，或者是购买比较信誉好的，免费版本和破解版的最好不要使用。

?第三、禁用主题/插件编辑器

如果有黑客测试出我们账户的用户名和密码，然后会在主题或者插件中添加后门代码，那我们的网站就存在的安全隐患。于是我们可以采用禁止主题和插件编辑器，这样即便知道我们的后台，也无法在插件和主题中修改。当然，如果我们自己需要使用可以用FTP登陆主机然后管理或者临时取消禁止。

define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );

只需要在WP-CONFIG.PHP文件中加入这两行代码。

第四、保护网站的.HTACCESS文件

比如，在老董优惠码网站的HTACCESS伪静态文件中，我们可以通过脚本来限制对于这个文件的修改，因为这个文件很多时候也被作为黑客利用的页面工具。把下面的文件添加进去，从HTACCESS文件中禁止用户使用特别的字符。

<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

第五、禁用目录列表

我们需要在HTACCESS文件中加上Options -Indexes代码，禁止直接打开目录列表，有些时候是由于空间问题，我们可以打开一个文件夹的目录展示。这样会让黑客有看到我们目录下的文件名。

第六、保护WP-CONFIG.PHP文件

因为一个网站的设置参考，包括数据库的入口都在WP-CONFIG页面中，我们需要保护这个页面的权限不让下载和利用。就需要我们在HTACCESS文件中添加下面的脚本。

<files wp-config.php>
order allow,deny
deny from all
</files>

第七，保护wp-login.php文件

wp-login.php页面就非常重要了，尤其是很多人利用工具自动扫描和攻击我们的登陆入口，测试密码。我们需要吧wp-login.php文件隐藏起来或者是禁止其他IP的访问，只能允许我们自己的IP访问。

<files wp-login.php>
order deny,allow
deny from all

# static IP
allow from xxx.xxx.xxx.xxx

# dynamic IP
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8
</files>

我们可以设置让自己的IP可以访问，或者说让一个IP段访问，其他是不可以访问的。

第八、保护wp-admin文件目录

同样的与WP-LOGIN文件一样，wp-admin目录页是会被猜测密码的。于是我们也可以类似上述的方法屏蔽wp-admin文件访问权限。

<LIMIT GET>
order deny,allow
deny from all

# static IP
allow from xxx.xxx.xxx.xxx

# dynamic IP
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8

</LIMIT>

第九、拒绝可执行的文件

我们可以拒绝类似EXE之类的可执行文件，也是在HTACCESS文件中设置。

# deny all .exe files
<files "*.exe">
order deny,allow
deny from all
</files>

最后，用插件防护

有些插件可以防护用户登录的，尤其是恶意连续的测试登陆。比如Acunetix WP Security,Login LockDown,AskApache Password Protect可以尝试使用。但是插件少用为好。

总之，网站的安全最为重要，任何优质的网站内容都是基于安全的网站程序框架下进行的。