1. 通过ip限制访问 wp-admin 后台

我们可以通过.htaccess文件设置，只允许我自己的ip访问  wp-admin 目录。这样可以防止暴力破解 WordPress 的密码（除非使用我的电脑），从而轻松保证只有我才可以控制我的网站。当然，这个办法仍然无法阻止数据库被攻击，但是能够有效防止黑客从网站的控制台登录。

将代码放入到 .htaccess 文件中，将红色ip地址换成自己的ip地址。有一点不方便的是，国内用户的个人用户大多是拨号上网（PPPoE），每次登陆都会随机分配ip地址；只有单位里的网络可能会有固定ip地址。

你可以登录ip138或者ip.cn来查询自己的ip地址。

# 保护 wp-login.php 文件

<Files wp-login.php>

Order deny,allow

Deny from All

Allow from 123.456.789.0

</Files>

2. 设置高强度的数据库密码

如果黑客能控制你的数据库，那就基本上就可以为所欲为了。我们强烈推荐用户使用高强度的密码，至少应该包括数字、字母大小写、符号等。使用cPanel主机的网友，可以使用密码生成器来帮你自动生成密码。主机上没有密码生成器的其他用户，也可以使用 keepass 这样的软件，来帮你生成高强度密码。

你也可以将数据库的名称设置复杂一些，不要让人一看就能看出是 WordPress 程序。

3. 保护 wp-config.php 文件

wp-config.php 文件里包含的有 WordPress 数据库的重要信息。如果该文件被暴露，再强壮的数据库密码也没有用。 因此，我们可以加一段代码，在 .htaccess 文件里，来保护 wp-config.php 文件：

# 保护 wp-config.php 文件

<Files wp-config.php>

Order allow,deny

Deny from All

</Files>

4. 防范插件和主题

插件增强了WordPress的功能，主题美化了WordPress的界面，这是WordPeress最吸引用户的资源，但也是容易出问题的地方。有许多不怀好意的插件和主题的开发者，或者插件和主题的下载网站，都被插入了一些恶意代码或后门程序。从我们遇到的许多网友WordPress网站的被黑的实际经历看，绝大部分WordPress网站被黑，都与使用了暗含后门的主题和插件有关。

因此，我们建议用户尽可能地减少使用的插件数目，并且尽量使用流行的插件，不要使用过于偏僻的和来历不明的插件；通过 WordPress 官方的插件仓库和主题仓库进行下载插件和主题；同时，当插件和主题更新的时候也要及时进行升级更新。

5. 尽量使用 SSL

有许多文章提到了使用SSL的重要性，还有许多WordPress SSL插件，使用SSL并不太麻烦。这里简单解释一下。在你登录WordPress网站的时候，你的浏览器需要从你的电脑向服务器传递账户和密码信息。默认情况下，传递过程中数据并不加密，因此存在被黑客截获数据（如账户和密码）的可能性。SSL就是强制对数据进行加密，减少网站被黑的几率。

如果你的虚拟主机提供SSL证书，你可以使用上面的插件来使用ssl加密网站。如果没有提供ssl证书，建议采用第1条中提到的方案，来防止其他用户登录到你的网站后台。

6. 小心你的同事

到此你的网站已经超级安全了，足以防范来自外部的攻击了，现在要防范来自内部的危险了。想象一下，你能否相信你的撰写博客的同事？结果呢，他在你的模板里插入了一个他喜欢的宠物狗的链接，还在你的主机上存放服务器。这种情况很容易防范，你在给你的同事设置用户权限的时候需要慎重。WordPress默认就提供有用户角色选项，订阅者、投稿者、作者、编辑和管理员。如果你认为你的同事可能会破坏你的博客，要限制其适当的权限。

还有一些插件，如members插件和role manager插件，可以对用户权限进行更为细致的配置。我们此前在21款适合多用户的博客插件一文中，能提到过这些插件。

7. 及时更新

WordPress 新版本发布频繁，经常修复一些安全问题。因此，及时更新你的网站到最新版WordPress是非常重要的。当新版的WP发布的时候，直接在后台点击更新按钮即可，就可以轻松保持更新。但是需要注意的时候，无论什么时候更新网站，都必须要先备份你的WordPress。我们推荐使用WordPress Database Backup插件，可以轻松进行数据库的自动备份。不仅可以备份到你的WordPress主机上，也可以直接备份到你的email邮箱。

8. 保护安装文件

在保护程序安装程序方面，WordPress做的尚不如国内的一些建站程序（如Discuz!）。WordPress的安装文件install.php可以被任何人访问。如果你的主机宕机，在数据库恢复正常之前，你的网站很有可能被任何人全新安装，给你带来无可挽回损失。非常糟糕。幸运的是，我们有个小技巧可以轻松解决：删除 install.php 文件。你可以通过 FTP 或者主机管理系统里的文件管理系统，删除 WordPress 安装目录下的 /wp-admin/install.php 文件，就彻底消除了隐患。

9. 屏蔽垃圾评论

垃圾评论非常令人讨厌，几乎每个WordPress网站都会受到垃圾评论的骚扰。以下这段代码加入到 .htaccess 文件，可以屏蔽掉这些传播广告的垃圾评论：

# 屏蔽垃圾评论

<IfModule mod_rewrite.c>

RewriteCond %{REQUEST_METHOD} POST

RewriteCond %{REQUEST_URI} .wp-comments-post\. [NC]

RewriteCond %{HTTP_REFERER} !.*wpchina\. [OR,NC]

RewriteCond %{HTTP_USER_AGENT} ^$

RewriteRule (.*) – [F,L]

</IfModule>

当然，这里需要将 wpchina 换成你自己的域名。

10. 移除登录页面里的错误信息

最后，这一条非常重要。在你的主题的 functions.php 文件里添加一行代码，来移除登录错误信息。这样，黑客要进行暴力破解的时候，就不知道是用户名错了，还是密码错了。很聪明！

add_filter('login_errors',create_function('$a', "return null;"));

你还有别的办法可以加强WordPress的安全么？欢迎你留言，和我们来一起交流。

原文：WordPress Security Tips

方法1，删除插件和主题

WordPress的升级后首页出现空白页面，大多数情况下是插件或者主题不兼容新版本造成的。一般情况下，我们建议你在升级之前，关闭所有的插件，切换到默认主题，然后升级。升级之化再重新激活你的主题和插件。

对此问题，你可以尝试删除掉所有的插件和主题，只保留WordPress默认的主题。（当然，最好下载到自己电脑上，做好备份。）然后登陆到cPanel的后台，重新选择新的主题。

方法2，导出数据库，重新安装

如果上述办法无法解决你的问题，那我们还有一个比较彻底的解决办法。

首先，登录你的主机，进入phpmyadmin，备份好你的数据库。

然后，删除数据库中的wp-options数据表。

再次，备份 wp-config.php 文件，然后从网站中删除此文件。

最后，输入你的WordPress地址，开始重新安装WordPress。

最重要的，还是要在升级之前进行备份。备份数据库，插件、主题。互联网上总会有一些你预料不到的问题，当这些问题发生时，备份就是你最好的保障。

今天我们的这篇文章，列出了8条加强WordPress网站安全性的建议，希望你不要忽视。

1. 做好备份

定期进行网站备份时最基本的要求。如果你不能定期备份，一旦出错，网站数据就有可能全部丢失，损失就无法挽回。这样的冒险完全不值得，只要养成良好的备份习惯，即使网站出现问题，也不必担心。

良好的备份习惯有3个要点：

1. 备份数据不能保存在服务器上（因为一旦服务器出问题，备份也可能会出问题；使用vps的用户尤其要注意这一点）
2. 备份能够自动进行（因为你未必能够记住每天去亲自备份）
3. 有必要保留多个备份（假如说你就保留了过去3天的备份，如果你出去度假5天，那么你保留的最老版本的备份，可能已经是出了问题的版本了）

因此，我们一般推荐 WordPress Database Backup 这样的插件来进行自动备份，它可以将文件给你自动发送到邮箱中。

2. 保持更新

WordPress开发社区非常活跃，版本更新速度快，甚至超过了网友们适应的速度。“升级WordPress可能会让我的插件/主题无法使用”，基于这样的考虑，是许多WPer不愿意及时升级WordPress的主要原因。升级WordPress确实存在这样的问题。

但是，不及时升级WordPress可能会更糟糕。因为 WordPress 每次升级都包含一些安全措施的修补。如果你没有及时更新，你的网站就存在漏洞，这样的网站就处于危险之中。

尤其是WordPress小版本的更新，比如从 3.2 到 3.2.1 ，修复了一些安全问题。因此一旦有这样的版本升级，你应该及时进行网站的升级。

对于WP网站而言，隐藏版本号或许可以降低一些风险。你可以在你当前所使用的主题的 functions.php 文件中添加如下代码，来隐藏 WordPress 的版本号：

remove_action(‘wp_head’, ‘wp_generator’);

不过这样并不能代替升级。及时升级仍然是最好的防御措施。

3. 更健壮的密码

或许你已经听无数人这么说了，要选择使用一个更复杂更安全的密码。密码太简单仍然是WordPress网站被黑的第一原因。

如何知道你的网站密码是不是很弱呢？容易。如果你的密码有任何的意义，比如说，名字拼音/生日/英文单词等等？如果你能拼出来，基本上就是很差劲的密码。密码应该是真正随机的、毫无意义的字母、数字和符号的组合。

无意义在这里非常重要。将“michael”换成“michae1”并不会更安全一些。因为这样的变换也非常容易猜到。

4. 经常检查你的网站

你的网站经常会在你不知情的情况下受到牵连。比如说，许多令人讨厌的脚本程序会在你的网页上包含一些只有搜索引擎才能查看到的链接。

尽快找到这些代码非常重要。因为一旦 Google 对你的网站进行惩罚，你的排名就要向后靠了，恢复排名的过程异常痛苦。

使用 Google 站长工具或其他类似工具可以帮你尽快查清网页中的链接。

5. 禁止显示目录索引

一般虚拟主机允许显示目录索引。这样，如果有人访问你的网站的某个目录（比如 wp-content/plugins/），就能查看到该目录下的文件名。“ 黑客”可以看到你的服务器上的所有文件名，这非常糟糕。

要修复这个问题很简单，只要使用文本编辑器打开 .htaccess 文件并添加如下代码即可：

#Prevent directory indexing
Options -Indexes

6. 不要使用FTP

FTP 是向网站上传文件的常用方式，但他并不安全。FTP传输过程可能会被入侵。如果你的主机允许，建议尽量使用 SFTP 来代替 FTP 。

SFTP 和 FTP 两种工作方式完全不同，但使用上完全一样。如果你不确定你的主机是否支持 SFTP，请联系你的主机商询问（绝大多数都支持 SFTP，包括我们的主机）。

7. 修改 wp-config.php 文件位置

默认的 wp-config.php 文件存放在网站根目录，但并不是一定要放在这里。你可以将它放到程序的上一级目录中（也就是根本不会出现在网站程序目录中）。

这很做起来很容易，只需要将文件放到上一级目录中。WordPress会知道去哪儿找到它。

此外，如果你已经使用WordPress有段时间，但是却还没有使用安全密钥，我们强烈建议你在 wp-config.php 文件中使用。

WordPress 使用 MD5 来加密用户的密码，加密后的密码很难被破解。但有些黑客用计算机列出了所有8位以内密码组合和对应的md5码，这样如果获取了加密后的密码，可以直接查出你的密码，非常恐怖。解决这一问题的常用办法就是给密码加“盐”。

你所要做的就是打开 https://api.wordpress.org/secret-key/1.1/salt/ ，将其生成代码复制到 wp-config.php 文件中，然后保存。

8. 小心下载的插件/主题

目前网上可以下载 WordPress 插件和主题的地方非常多，但并非所有的网站都可以相信。根据我们的经验，许多用户网站被黑，大都是使用了带有恶意代码的主题或插件。

在下载 WordPress 主题或插件之前，最好先 Google 一下人们对这个网站的看法。如果有很多的好评和链接，那就不妨去下。否则，还是离开为妙。

对于 WordPress 插件，最好的下载地方是 WordPress 官方插件目录。此外，你也可以去你信得过的地方购买付费插件。

对于 WordPress 主题，WordPress 官方主题目录非常棒。但有很多的优秀的主题开发者都将主题放到自己的网站上。

因此，如果你从第三方的网站上下载 WordPress 主题，强烈建议你立即检查网站（尤其是一些网站会在页脚放一些付费链接，Google可能会惩罚你的网站）。

这是我在本地 WordPress 测试修改后的效果：

其实这个也很简单，只要几句代码就可以了。在你所使用的 WordPress 主题目录中，有一个 functions.php 文件（如果没有，就自己建立一个），复制以下代码到其中：

<?php
function custom_loginlogo() {
echo '<style type="text/css">
h1 a {background-image: url('.get_bloginfo('template_directory').'/images/login_logo.png) !important; }
</style>';
}
add_action('login_head', 'custom_loginlogo');
?>

注意，如果已经有 functions.php 文件，不需要第一行和最后以行代码。

添加好代码之后，将你制作好的 logo 上传到目录下的 images 目录内，文件名为 login_logo.png 。WordPress 登录页面默认 logo 大小为 250*68 像素，自制的 logo 不要超过此限制，否则 logo 无法完整显示。

你所需要做的非常简单。在你所使用的主题目录中，建立一个 functions.php 文件，打开，并将如下代码复制到其中：

<?php
function custom_loginlogo_url($url) {
    return 'http://wpchina.org';
}
add_filter( 'login_headerurl', 'custom_loginlogo_url' );
?>

注意：别忘了把这里的 wpchina.org 换成你自己的网址哦。另，如果已经有 functions.php 文件，复制代码的时候不需要第一行和最后一行，只复制中间部分即可。

打开你所使用主题的主题函数文件（对应主题文件夹内 functions.php 文件），添加一行代码：

remove_action('init', 'wp_admin_bar_init');

然后保存。这样管理工具条就不会再出现了。

如果你还没有尝试过 WP 3.1，可以立即前往 WordPress 3.1 中文体验站尝鲜。

办法很简单，打开你的WordPress主题中的functions.php文件，添加一行代码：

remove_filter('comment_text', 'make_clickable', 9);

就搞定了。保存一下，就可以跟垃圾评论中的链接说再见了。

本系列教程共分为4个部分。在阅读本部分之前，建议你首先阅读第1部分：WordPress 自定义分类发展历程；第2部分：如何在主题中添加代码来实现自定义分类。

在独立文章页面显示自定义分类信息

在主题 TwentyTen 或者其他的主题中，文章内容的后面都会列出文章的类别，以及标签等。我们想在类别和标签信息之前添加上自定义分类的信息；当然如果不存在就不添加。

要做到这一点，我们需要编辑  single.php 模板文件，这个通常是用来显示单独的一篇文章的。这个 single.php 文件的地址是: [website_root]/wordpress/wp-content/themes/twentyten/single.php 。

实际上，TwentyTen 主题 1.3 alpha 中，在 single.php 文件中调用了 get_template_part() 函数来输出具体的单篇文章信息，也就是调用的了 loop-single.php 模板文件。因此，我们下面的具体修改，实际上是在 loop-single.php 中完成，但对于大部分主题而言，应该是 single.php 文件。你在修改自己的主题模板是要注意这一点。

第1步：在正确的位置添加代码

在 loop-single.php 文件中，找到如下一行：

<div class="entry-utility"></div>

这一块一般包括的是当前这篇文章的类别、标签、永久链接之类的信息。我们就要把自定义分类的信息放在这个块（div）代码上面。

如果你还找不到这个 entry_ulility 的位置，它下面往往还有另一个块（div）来显示文章导航，也就是前一篇文章，后一篇文章：

<div id="nav-below" class="navigation">

或者你可以往前找找，肯定会有一个块（div）显示具体的文章内容，这个块中一般会调用 the_content() 函数来显示文章内容：

<div class="entry-content">

注意：自定义分类信息并不是必须放到文章内容之后，文章类别信息之前。这里只是便于网友理解，稍作解释。

第2步：提取当前文章的自定义分类信息

我们通过以下方式可以获取当前文章的自定义分类的信息：

<?php
// 如果发现有自定义分类信息，
// 就在这里输出
$taxo_text = "";

// 用来检查每个自定义分类类别的列表
// 这一个是检查操作系统自定义分类体系的
$os_list = get_the_term_list( $post->ID, 'operating_system', '<strong>Operating System(s):</strong> ', ', ', '' );

这里我们调用了 WordPress 函数 get_the_term_list ，下面介绍一下他的几个参数：

• $post->ID，当前文章的ID；
• ‘operating_system’，这个是我们想要检查的自定义分类的内部名字。我们查询本文是否有包含这个分类的类别信息。
• ‘Operating System(s)’ : 如果上面检查有返回值，那么这个字符串显示在返回值之前。注意：如果你喜欢，这里可以输入中文，但务必保持该文件的编码格式和你的数据库编码格式一样，否则为乱码。一般应为 UTF8 no BOM 格式。
• ‘, ‘: 如果有多个返回值，那么用这个符号隔开。
• ”: 如果没有返回值，我们就什么都不输出，隐藏这个信息。

同样，我们也调用此函数检查一下另外两个自定义分类的信息：

$ram_list = get_the_term_list( $post->ID, 'ram', '<strong>RAM Option(s):</strong> ', ', ', '' );
$hd_list = get_the_term_list( $post->ID, 'hard_drive', '<strong>Hard Drive Option(s):</strong> ', ', ', '' );

进一步了解 get_the_term_list 函数

第3步：如果有，调整输出结果的文字格式

检查一下是否有着三个分类的信息。如果有的话，添加到输出结果里，别忘了增加断行符。

// 操作系统列表
if ( '' != $os_list ) {
    $taxo_text .= "$os_list<br />\n";
}
// 内存列表
if ( '' != $ram_list ) {
    $taxo_text .= "$ram_list<br />\n";
}
// 硬盘列表
if ( '' != $hd_list ) {
    $taxo_text .= "$hd_list<br />\n";
}

第4步：如果有，显示自定义分类信息

检查一下我们以上几步的结果，是否有自定义分类信息。如果有的话，我们输出到类名为 entry-ulility 的块（div）中。

// 如果有自定义类别的信息，就输出显示
// 注意：如果没有要输出的内容，我们没有必要增加一个块（div）
if ( '' != $taxo_text ) {
?>
    <div class="entry-utility">
        <?php echo $taxo_text; ?>
    </div>
<?php
} // endif
?>

第5步：查看输入结果

访问一篇博客文章，来看看我们刚刚定义的自定义分类信息是否显示：

到此，我们就成功地将分类信息输出到了文章的页面之中。如果有需要，你也可以很方便地修改输出结果的显示形式。你都会了吗？

下一部分，我们将给大家介绍，如何像类别归档、按月归档文章那样，来定制一个自定义分类体系的类别归档页面。

明天是圣诞节，我们也不搞代码研究了，下一节我们后天在发布。明天给大家带来一个圣诞节礼物，非常棒的WordPress主题，真的很棒！最后，我们 WPChina.org 祝你平安夜快乐！

昨天我们已经介绍过了，本教程分4个部分。第一部分介绍一下WordPress的自定义分类功能；第二部分介绍如何建立一个自定义分类体系；第三部分介绍如何在主题中显示自定义分类信息；第四部分介绍如何在网站中查看自定义分类的文章。

我们教程中使用的WordPress是 3.1 beta 2 测试版，主题是默认的Twenty Ten（2010）1.3 alpha 测试版。如果你使用的不是上述版本，具体代码可能略有差别。但基本影响不大。

创建一个自定义分类系统

编辑主题的 functions.php 函数文件

WordPress 3 不允许你直接在管理后台创建自定义分类。如果不用插件而建立一个自定义分类，我们需要在你使用的主题的函数文件 functions.php 中稍微编辑一下代码。并不太难——别担心。

要增加自定义分类，我们需要编辑你的主题目录中的 functions.php 函数文件。比如说，我们使用的主题是 Twenty Ten（2010），我的 WordPress 安装在一个叫做 wordpress 的目录内，那么这个函数文件 funcitons.php 就在：

[website_root]/wordpress/wp-content/themes/twentyten/functions.php 。

添加分类体系代码

我们还以前面的台式计算机为例，对内存、硬盘和操作系统增加单独的分类体系。现在我们只是简单地增加分类体系，就像是增加一个空的容器，其中没有具体的类别。别担心，我们稍后可以在WordPress控制台自己添加和管理其中的分类。

第1步：一个函数创建所有自定义分类

首先，我们需要调用一个函数，来创建所有的分类。WordPress提供的这个函数叫做 build_taxonomies 。我们在 funcitons.php 文件的底部添加这个函数：

function build_taxonomies() {
    // 将在这里添加代码
}

第2步：定义分类体系

然后又，对于我们要创建的每个分类体系，我们需要使用正确的参数来调用一个 WordPress 函数。下面就是这个函数，以及其重要参数说明：

register_taxonomy(
	'internal_name',
	'object_type',
	array(
		'hierarchical' => {true|false},
		'label' => 'Human Readable Name',
		'query_var' => {true|false},
		'rewrite' => {true|false}
	)
);

在这里：

• internal_name: 分类体系在 WordPress 内部显示的名字，出现在数据库和模板文件中。
• object_type: 分类体系适用于哪种内容类型。参数一般是 post, page, link ，也可以自定义的文章类型。
• 然后是一组可选参数，这里只列出较为重要的几个，其余的可以参考WordPress开发文档中关于 register_taxonomy 的介绍 。
• hierarchical: 如果是 ture，那么这个分类体系是可以分层的，类似于类别；如果是 false，那么这个分类体系是不能分层的，类似于标签。
• label: 这个便于阅读的分类体系的标题（类似于名称，也可以当作名称来用）。可用于翻译，只不能是中文。
• query_bar: 如果是 true，那么可以请求WordPress搜索这个分类体系。比如说，你可以搜索属于“Windows”分类体系的文章。
• rewrite: 如果是 true ，那么这个分类体系支持 url 重写，也就是永久链接结构。比如说，属于“Windows”操作系统的文章的列表的网址可以重写为： http://yourdomain/operating_system_windows

因此，我们建立操作系统分类的代码基本上是这样的：

register_taxonomy( 'operating_system', 'post', array( 'hierarchical' => true, 'label' => 'Operating System', 'query_var' => true, 'rewrite' => true ) ); 

第3步：调用分类体系创建函数

我们还需要在 functions.php 文件中再增加一行代码，来执行刚刚的创建分类的 build_taxonomies 函数。我们用下面这行代码来进行函数调用：

add_action( 'init', 'build_taxonomies', 0 );

这行代码可以添加到任何地方，但是我们建议添加到 build_taxonomies() 函数上面。这样，整个代码看起来就是这样的。

// 自定义分类代码
add_action( 'init', 'build_taxonomies', 0 );  

function build_taxonomies() {
    register_taxonomy( 'operating_system', 'post', array( 'hierarchical' => true, 'label' => 'Operating System', 'query_var' => true, 'rewrite' => true ) );
}

进一步查看 add_action 函数的用法。

在自定义分类体系中添加类别

一旦你创建了正确地通过 functions.php 文件添加了“Operating System”分类体系，  那么它就会作为一个子项目出现在控制台“文章”栏下。点击“Operating System”，就可以来添加具体的分类了。

现在，你就可以像管理 WordPress 类别那样，来添加和管理“Operating System”（操作系统）了。

添加更多分类体系

如果你还想要增加“RAM”（内存）和“Hard Drive”（硬盘）的分类体系，只要将以下代码加入到 functions.php 文件中即可：

register_taxonomy( 'ram', 'post', array( 'hierarchical' => true, 'label' => 'RAM', 'query_var' => true, 'rewrite' => true ) );
register_taxonomy( 'hard_drive', 'post', array( 'hierarchical' => true, 'label' => 'Hard Drive', 'query_var' => true, 'rewrite' => true ) );

添加之后，在 functions.php 文件中代码就像这样了：

// 自定义分类代码
add_action( 'init', 'build_taxonomies', 0 );

function build_taxonomies() {
register_taxonomy( 'operating_system', 'post', array( 'hierarchical' => true, 'label' => 'Operating System', 'query_var' => true, 'rewrite' => true ) );
register_taxonomy( 'ram', 'post', array( 'hierarchical' => true, 'label' => 'RAM', 'query_var' => true, 'rewrite' => true ) );
register_taxonomy( 'hard_drive', 'post', array( 'hierarchical' => true, 'label' => 'Hard Drive', 'query_var' => true, 'rewrite' => true ) );

}

在文章中使用自定义的分类体系

新建一篇文章，你就能够在WordPress的文章编辑器旁边看到新的自定义的分类体系。根据需要，你可以选择任何一个具体的分类给你的文章。

第二部分关于如何创建 WordPress 自定义分类的内容就介绍完了。下一部分，我们将给你介绍如何在主题中显示你已经添加的自定义分类的类别信息。

这一教程将分为四个部分。第一部分介绍介绍一下WordPress的自定义分类功能；第二部分介绍如何建立一个自定义分类体系；第三部分介绍如何在主题中显示自定义分类信息；第四部分介绍如何在网站中查看自定义分类的文章。

今天是第一部分，介绍一下WordPress的分类体系，以及为什么要自定义分类体系。

什么是分类学？

分类学就是区分不同事物的方法。本教程使用一篇关于台式计算机的例子来具体说明。通常一个台式计算机包括：

• 内存大小
• 硬盘空间
• CPU速度
• CPU类型
• 预装的操作系统
• 等等

WordPress 分类简史

类别

在 WordPress 2.3 版本之前，WordPress 只有一个分类学概念，叫做类别，是针对博客中文章的。对于博客来讲，类别很有用，你可以建立一个顶级分类叫做“台式计算机”，然后创建一个子类别叫做“内存”，然后再创建一堆子类别，比如“小于1G”，“1GB”，“2GB-4GB”，如此等等。“台式计算机”的第二个字类别叫做“操作系统”，其可以创建子类别“Windows XP”，“Mac OS”,”Red Hat” ,”Ubuntu” ，如此等等。

如果一个系统的类别可以再分为子类别，这个就是分级结构。使用 WordPress 2.3 对于一个严肃站点能做的最好的架构就是建立庞大类别体系，其中顶级的类别就是整个分类组。

标签

WordPress 2.3 版本增加了另一个分类学办法，叫做标签。类别很多地方无能为力，尤其是在指定文章内容类型的时候，标签提供了更自由、更先进的分类办法。

比如说，当你些一片关于台式计算机的文章的时候，可以给文章增加一些关键词，比如“游戏”、“娱乐”、“风扇噪音大”，这就是标签。这些关键词与网站的类别体系无关，但是却可以提供一些额外的文章信息。网站访问者可以轻松地查看带有“风扇噪音大”标签的文章。但是，由于标签天生具有随意性，无法建立像操作系统或者CPU型号那样的牢固的分类系统。同时，标签也是1维的，不允许建立分级结构，也就是没有子标签。

单级自定义分类学

WordPress 2.8 开始引入了自定义分类学的概念，只需要修改很少的代码就可以在你的网站中使用此功能。自定义分类可以让你添加一个所有操作系统的列表，一个内存类型的列表，等等。然而，这个时候的自定义分类还不允许类似类别的分级结构。

全功能分级自定义分类学

WordPress 3 最终给我们带来了完整分级功能的自定义分类体系。注意这个分级体系允许我们简化操作系统分类体系，可以将所有Windows的发布版本作为Window的子类。这样，访问者就可以查看所有Windows操作系统的文章，也可以单独查看Windows XP等具体版本操作系统的文章。

下一节，我们将介绍如何创建一个自定义分类体系，欢迎继续关注。

办法很简单，只要在WordPress的配置文件 wp-config.php 文件中添加以下信息即可：

define('FTP_HOST', 'yoursite.com'); // FTP地址，你的域名或IP地址，推荐域名
define('FTP_USER', 'Your_FTP_Username'); // FTP用户名
define('FTP_PASS', 'Your_FTP_password'); // FTP密码
define('FTP_SSL', false); // 如果FTP支持加密链接，设置为true；否则默认为false

这样就可以直接升级WordPress了。

如果你有使用WordPress的技巧、心得，也欢迎向我们投递。

模板文件体系举例

WordPress给主题开发者提供了一整套的解决方案，设置了模板文件体系，让WordPress主题的开发和修改（二次开发）都十分方便。当访问者打开任何一个WordPress网站内的一个网址的时候，WordPress就会按照模板体系去查询对应的模板文件，然后进行加载并显示给访问者。

比如说，如果访问者打开的是按类别归档的文章，那么WordPress就首先寻找对应的分类缩略名的模板，category-slug.php，或者对应ID的模板，category-id.php；如果这两个都不存在，那就寻找模板文件 category.php；如果这个还不存在，那就寻找 archive.php 模板文件；如果还不存在，那就寻找 index.php 模板文件。如此按照模板体系向上追溯，直到找到对应的模板文件为止。

模板文件体系

下面是WordPress主题中每个功能在模板文件体系中顺序，WordPress按照顺序依次索引。

• 首页
  home.php, index.php
• 单篇文章
  single-{post_type}.php, single.php, index.php
• 页面
  custom template, page-{slug}.php, page-{id}.php, page.php, index.php
• 分类归档
  category-{slug}.php, category-{id}.php, category.php, archive.php, index.php
• 标签归档
  tag-{slug}.php, tag-{id}.php, tag.php, archive.php, index.php
• 作者归档
  author-{nickname}.php, author-{id}.php, author.php, archive.php, index.php
• 日期归档
  date.php, archive.php, index.php
• 搜索结果
  search.php, index.php
• 404页面
  404.php, index.php

WordPress模板文件体系图释

WordPress模板文件体系，让主题内的各个文件既有分工又有合作。明白了其中的逻辑关系，不管是进行主题开发，还是修改主题，都更加容易。

你尝试过自己修改WordPress主题吗？有什么经验，欢迎和我们一起投递分享。

方法：

在index.php里找到包含<?php the_title(); ?>的地方，在后面加上如下代码：

<?php
$t1=$post->post_date;
$t2=date("Y-m-d H:i:s");
$diff=(strtotime($t2)-strtotime($t1))/3600;
if($diff<24){echo "<img src='http://www.laogebo.com/wp-content/uploads/2010/12/new140.gif' alt='24小时内最新'>";}?>

注意：

1. 文章链接的图标网址可以更换

2. 如果你觉得24小时时间太长，或太短，可以修改if($diff<24)这个表达式

效果如下：

几乎每次WordPress发布新版本，我们总能看到许多网友有这样的评论。有的说，我要立即升级WordPress，有的说，先不升级，看看再说。那么，到底应该怎么做呢？

我们的建议是：如果发布的是主要版本的更新（比如从 WordPress 3.0.3 到 3.1，即将发布），那么建议你可以先看一看、等一等。因为新版本虽然有一些新功能，但也会有难免有一些小的bug，或者是和你的主题、插件有某些不兼容。等到大家都测试差不多了，再进行升级，可以帮你减少一些麻烦。

如果发布的是小版本号的升级（比如从WordPress 3.0.2到WordPress 3.0.3），那么建议你立即升级。小版本的升级一般都是修正更新，或者安全补丁，一般不会有功能上的变化，有bug的几率也比较低。因此，你可以尽快进行更新升级。

还有一些爱好者，他们不太喜欢经常升级更新，经常一个版本用很久；也有一些用户，太喜欢尝鲜，经常使用一些测试版，尝试每一个最新功能。

那么，你是怎么做的呢？你是每次都及时更新WordPress呢？还是喜欢等一段时间呢？欢迎各位WPer和我们一起分享你的经验。

在前几天的文章中，我们曾经带领大家预览过这一功能。但上次的截图并不太清晰，而且随着WordPress 3.1开发的继续，这一功能的界面也有所变化。

这是来自WordPress 3.1中文演示站的一个最新截图：

与之前的WordPress版本相比相比，WordPress 3.1编辑器的插入链接功能主要增加了文章列表和一个强大的搜索框。

站内文章列表列出了你的博客网站中所有的已经发布的文章，和已经发布的页面，以及相应的发布日期。用鼠标点击任何一篇文章或者页面，其连接和标题将自动成为链接的地址和链接标题。

搜索框功能也很强大，可以实时搜索站内所有文章。遗憾的是目前尚不支持中文搜索。不知道正式版能否增加对中文的支持。

WordPress 3.1的对站内链接功能的改进，极大地方便了站内优化操作。尤其是你可以方便地查询早期的文章，不再需要去前台一页页的进行查找。因此，对于搜索引擎优化爱好者而言，这一改进有很大的帮助。

备份WordPress的办法很多，我这里只介绍最简单最完整的办法。

首先，文件很容易备份。因为WordPress可以任何时候重新下载，你只需要担心你修改过或者上传过的文件，主要也就是 wp-config.php 文件，以及在 /wordpress/wp-content/ 目录下的所有文件，你可以通过 FTP 进行登录备份。cPanel主机还可以使用文件管理器进行先压缩后下载。

然后，再备份数据库。数据库中主要博客网站的内容和设置。几乎所有的东西都在数据库中。备份数据库有简单的办法，也有复杂的办法。

简单办法：使用插件，比如 WP-DB-Backup 或者 BackWPup，这些插件提供了最简单并且可以自定义的备份的选项。不过他们受 WordPress 版本兼容性的限制，还有可能被你的主机商出于安全考虑而禁用。

复杂办法：使用 phpMyAdmin ，几乎所有的主机服务商都在他们的控制面板里提供该工具。确实，这个办法比安装一个插件，点击一下鼠标就能神奇地备份你的数据库有些复杂。但是使用装个工具，你可以在任何时候，在任何主机商的主机上，无须访问你的博客就可以进行备份和恢复操作。尤其是当你更换主机的时候，这个方法尤其顺手。

绝大多数主机的控制面板还提供他们自己的备份功能，可以方便地转移主机商。比如说，cPanel一般提供“完整备份”功能给你，这一个gzip文件中就包括所有的文件、数据库以及email等。这是一个很棒的备份方法，但是这个归档文件只能由cPanel的系统管理员进行恢复。前面列出的办法可以保证与大多数主机提供商高度兼容。

Automattic 开发的 VaultPress 新的备份工具。这是一项收费服务，但是它提供了一个非常方便的办法，只要你的博客发生变化，就可以远程自动备份。如果你的博客非常重要，我强烈推荐你试试 VaultPress，现在提供很低的测试版价格。我已经使用VaultPress两周了，用满一个月之后你还可以看到一个使用评测。

对我个人而言，之前我使用 SFTP 和 phpMyAdmin 来备份我的博客，现在我使用 ValutPress。你是如何备份你的博客的呢？

译者注：对于WPChina.org，一直使用WP Db Backup和cPanel里的文件管理器来备份自己的网站，而经常使用phpMyadmin和FTP来帮助网友转移网站。

原文：Backing Up WordPress

在寻求别人帮助前，内部服务器错误通常是由于插件或者主题函数的冲突造成的，因此你可以从手动重置你的插件和主题开始检查，这部分内容我们在WordPress 与白屏之死一文中已经做了介绍。 如果问题还没解决，有可能是 .htaccess 规则是造成的。 要检查这项，你可以通过FTP or SFTP登录到你的服务器，将 .htaccess 文件重命名。 如果你没有找到 .htaccess 文件，请确认你设置了 FTP or SFTP 客户端允许查看隐藏文件。

如果你通过重置插件及主题，或者修改.htaccess文件名还无法解决问题，那么该寻求他人帮助了。如果你能够提供更加详细的信息，将会有助于别人帮你解决问题。 通常可以在错误日志中找到内部服务器错误的详细信息。 如果你可以获取服务器的错误日志，重现你的遇到的错误，记下日期和时间，并立即检查你的服务器错误日志检查在此时间内生成的错误。 如果你无法获取服务器的错误日志，可以向你的主机服务商寻求帮助。

一旦你有了相关的详细信息，可以向主机提供商或者WordPress支持论坛寻求帮助务必要描述错误发生之前你所进行的一些操作，错误发生后尝试的解决办法，以及你的服务器错误日志里的具体信息。

原文：WordPress and the Internal Server Error

警告：Warning: Cannot modify header information - headers already sent by (output started at /path/blog/wp-config.php:34) in /path/blog/wp-login.php on line 42

记住故障处理的第一条规则：不要惊慌！ 首先，你需要理解错误信息。 第一反应，看起来可能是 wp-login.php 文件的 42 行是问题的根源，但这只是通常的误解。实际上，wp-config.php 的第 34 行才是问题所在，wp-login.php 的42行只是受害人。

现在你知道该看哪儿，该找什么了吧？ 不管你信不信，问题通常是由于那一行的空格引起的（或者一个空格、或者一个空行）。

现在，你知道了要找什么以及去哪里找，通过FTP或SFTP登陆你的服务器，并使用文本编辑器编辑这个文件。 此外，如果你不想被文件编辑弄迷糊，也可以直接用原始文件去替代这个文件，也可以解决问题。

如果你没有发现文件的任何错误，用原始文件替换也没有解决问题呢？ 那就很有可能是某个插件或者主题函数，读取这个文件时造成的问题了。 那就尝试关闭所有的插件。如果问题解决了，重新逐个启用插件，直到找出问题所在。如果还没有解决问题，尝试将主题切换到Default主题 (WordPress 1.5 – 2.9.2)或者Twenty Ten 主题 (WordPress 3.0或更高），来确认是否是主题造成的。 如果你无法登录管理面板，你可以按照WordPress与白屏之死一文中的办法手动关闭WordPress插件和主题。

如果还无法这个解决问题，WordPress支持论坛的热心网友可以帮你解答。一定要记住告诉他们你已经尝试过的步骤。

【补充】：如果你遇到的刚好是 wp-config.php 文件错误，并且你使用的WordPress并非WordPress官方英文原版或者WPChina.org发布的非官方中文版，那么很有可能是 wp-config.php 的错误编码导致的这个错误。包括cn.wordpress.org在内的一些组织发布WordPress中文版本，默认将wp-config.php文件设置为utf 8 no bom编码格式；但是php语言并不擅长处理utf8编码格式。解决办法，使用文本编辑器重新将此文件编码格式设置为ansi或gb2312；或者简单些，从WPChina.org下载一个非官方中文版，用其中的wp-config.php文件去替代。

原文：WordPress and the Headers Already Sent Warning

拖延了好長一段日子，早些天終於抽空寄了電郵去 web hosting 查詢，很快得到回覆，果然是因為安全理由而限制了 xmlrpc.php 回應外部程式。幸好，對方也提供了解除限制的語法，只要在 blog 目錄下修改 .htaccess 檔案，加入下面這幾行語法，果然就解決了：

<IfModule mod_security.c>

SecFilterRemove 114

</IfModule>

▲ 未修改 .htaccess 之前，一直出現 XML-RPC 無法連接，或是代號 412 的錯誤。

▲ 跟隨 web hosting 技術支援人員提供的建議，在我的 blog 目錄下修改 .htaccess 檔案。

▲ 還須在 WordPress 啟用 XML-RPC 選項。如已啟用，應該就能順利登入 blog 編輯文章。

▲ 進入 WordPress 控制面板 > Settings > Writing，選用 XML-RPC 那一項。

原文：解決 WordPress XML-RPC 錯誤

你的服务器可能会有4G的内存（实际上我们的WordPress专业主机都至少有8G的内存），但这些内存并不能都归你的使用。现在，正常安装一个WordPress程序，32M内存就很不错了。但是，有个别有问题的插件，或者个别的时候（比如通过控制面板导入导出文章）会在瞬间占用大量的内存，这时候程序就会变成了白屏，或者出现类似这样的的提示：“Fatal error: Allowed memory size of 33554432 bytes exhausted.”

如果你看到的是白屏，WordPress与白屏之死这篇文章或许会对你有用。

如果你看到的是内存致命错误的信息，在寻求你的主机服务商帮助前，你可以试试以下三个办法。如果第一个办法不行，就继续试第二个。记住，绝大多数主机商都密切监视内存的使用情况，并禁止你频繁地使用内存。

1. 如果你使用的 WordPress 2.9.2 或者更低的版本，可以在 wp-config.php 文件里添加代码 define('WP_MEMORY_LIMIT', '256M'); 。如果你使用的是 WordPress 3.0 或更高的版本，它会自动尝试这么做，你不需要再进行添加代码。

2. 如果你可以编辑系统的 php.ini 文件，可以尝试提高内存限制。比如，memory_limit = 256M

3. 如果你无法编辑系统的 php.ini 文件，可以将代码 php_value memory_limit 256M 添加到你的 .htaccess 文件中。

如果以上办法都不可行，你可以联系你的主机商要求临时增加你的账户的 PHP 内存限制。记住，绝大多数正常的主机商给每个账户的内存限制是32M，同时绝大多数正常的主机商也都允许用户临时增加内存分配。如果你的主机商不同意这么做，那么你应该考虑换一个更好的主机商了。

如果程序有错误，也会导致同样的错误，比如刚刚发布的WordPress 3.1 beta 1测试版（WP3.1 演示），测试的时候就存在这个bug。当然，这个bug在WordPress 3.1正式发行的时候一定会解决的。

如果你还需要更进一步的帮助，也欢迎你到WordPress官方论坛去发帖求助。

原文：WordPress and the Fatal Memory Error