今天我们的这篇文章，列出了8条加强WordPress网站安全性的建议，希望你不要忽视。

1. 做好备份

定期进行网站备份时最基本的要求。如果你不能定期备份，一旦出错，网站数据就有可能全部丢失，损失就无法挽回。这样的冒险完全不值得，只要养成良好的备份习惯，即使网站出现问题，也不必担心。

良好的备份习惯有3个要点：

1. 备份数据不能保存在服务器上（因为一旦服务器出问题，备份也可能会出问题；使用vps的用户尤其要注意这一点）
2. 备份能够自动进行（因为你未必能够记住每天去亲自备份）
3. 有必要保留多个备份（假如说你就保留了过去3天的备份，如果你出去度假5天，那么你保留的最老版本的备份，可能已经是出了问题的版本了）

因此，我们一般推荐 WordPress Database Backup 这样的插件来进行自动备份，它可以将文件给你自动发送到邮箱中。

2. 保持更新

WordPress开发社区非常活跃，版本更新速度快，甚至超过了网友们适应的速度。“升级WordPress可能会让我的插件/主题无法使用”，基于这样的考虑，是许多WPer不愿意及时升级WordPress的主要原因。升级WordPress确实存在这样的问题。

但是，不及时升级WordPress可能会更糟糕。因为 WordPress 每次升级都包含一些安全措施的修补。如果你没有及时更新，你的网站就存在漏洞，这样的网站就处于危险之中。

尤其是WordPress小版本的更新，比如从 3.2 到 3.2.1 ，修复了一些安全问题。因此一旦有这样的版本升级，你应该及时进行网站的升级。

对于WP网站而言，隐藏版本号或许可以降低一些风险。你可以在你当前所使用的主题的 functions.php 文件中添加如下代码，来隐藏 WordPress 的版本号：

remove_action(‘wp_head’, ‘wp_generator’);

不过这样并不能代替升级。及时升级仍然是最好的防御措施。

3. 更健壮的密码

或许你已经听无数人这么说了，要选择使用一个更复杂更安全的密码。密码太简单仍然是WordPress网站被黑的第一原因。

如何知道你的网站密码是不是很弱呢？容易。如果你的密码有任何的意义，比如说，名字拼音/生日/英文单词等等？如果你能拼出来，基本上就是很差劲的密码。密码应该是真正随机的、毫无意义的字母、数字和符号的组合。

无意义在这里非常重要。将“michael”换成“michae1”并不会更安全一些。因为这样的变换也非常容易猜到。

4. 经常检查你的网站

你的网站经常会在你不知情的情况下受到牵连。比如说，许多令人讨厌的脚本程序会在你的网页上包含一些只有搜索引擎才能查看到的链接。

尽快找到这些代码非常重要。因为一旦 Google 对你的网站进行惩罚，你的排名就要向后靠了，恢复排名的过程异常痛苦。

使用 Google 站长工具或其他类似工具可以帮你尽快查清网页中的链接。

5. 禁止显示目录索引

一般虚拟主机允许显示目录索引。这样，如果有人访问你的网站的某个目录（比如 wp-content/plugins/），就能查看到该目录下的文件名。“ 黑客”可以看到你的服务器上的所有文件名，这非常糟糕。

要修复这个问题很简单，只要使用文本编辑器打开 .htaccess 文件并添加如下代码即可：

#Prevent directory indexing
Options -Indexes

6. 不要使用FTP

FTP 是向网站上传文件的常用方式，但他并不安全。FTP传输过程可能会被入侵。如果你的主机允许，建议尽量使用 SFTP 来代替 FTP 。

SFTP 和 FTP 两种工作方式完全不同，但使用上完全一样。如果你不确定你的主机是否支持 SFTP，请联系你的主机商询问（绝大多数都支持 SFTP，包括我们的主机）。

7. 修改 wp-config.php 文件位置

默认的 wp-config.php 文件存放在网站根目录，但并不是一定要放在这里。你可以将它放到程序的上一级目录中（也就是根本不会出现在网站程序目录中）。

这很做起来很容易，只需要将文件放到上一级目录中。WordPress会知道去哪儿找到它。

此外，如果你已经使用WordPress有段时间，但是却还没有使用安全密钥，我们强烈建议你在 wp-config.php 文件中使用。

WordPress 使用 MD5 来加密用户的密码，加密后的密码很难被破解。但有些黑客用计算机列出了所有8位以内密码组合和对应的md5码，这样如果获取了加密后的密码，可以直接查出你的密码，非常恐怖。解决这一问题的常用办法就是给密码加“盐”。

你所要做的就是打开 https://api.wordpress.org/secret-key/1.1/salt/ ，将其生成代码复制到 wp-config.php 文件中，然后保存。

8. 小心下载的插件/主题

目前网上可以下载 WordPress 插件和主题的地方非常多，但并非所有的网站都可以相信。根据我们的经验，许多用户网站被黑，大都是使用了带有恶意代码的主题或插件。

在下载 WordPress 主题或插件之前，最好先 Google 一下人们对这个网站的看法。如果有很多的好评和链接，那就不妨去下。否则，还是离开为妙。

对于 WordPress 插件，最好的下载地方是 WordPress 官方插件目录。此外，你也可以去你信得过的地方购买付费插件。

对于 WordPress 主题，WordPress 官方主题目录非常棒。但有很多的优秀的主题开发者都将主题放到自己的网站上。

因此，如果你从第三方的网站上下载 WordPress 主题，强烈建议你立即检查网站（尤其是一些网站会在页脚放一些付费链接，Google可能会惩罚你的网站）。

备份WordPress的办法很多，我这里只介绍最简单最完整的办法。

首先，文件很容易备份。因为WordPress可以任何时候重新下载，你只需要担心你修改过或者上传过的文件，主要也就是 wp-config.php 文件，以及在 /wordpress/wp-content/ 目录下的所有文件，你可以通过 FTP 进行登录备份。cPanel主机还可以使用文件管理器进行先压缩后下载。

然后，再备份数据库。数据库中主要博客网站的内容和设置。几乎所有的东西都在数据库中。备份数据库有简单的办法，也有复杂的办法。

简单办法：使用插件，比如 WP-DB-Backup 或者 BackWPup，这些插件提供了最简单并且可以自定义的备份的选项。不过他们受 WordPress 版本兼容性的限制，还有可能被你的主机商出于安全考虑而禁用。

复杂办法：使用 phpMyAdmin ，几乎所有的主机服务商都在他们的控制面板里提供该工具。确实，这个办法比安装一个插件，点击一下鼠标就能神奇地备份你的数据库有些复杂。但是使用装个工具，你可以在任何时候，在任何主机商的主机上，无须访问你的博客就可以进行备份和恢复操作。尤其是当你更换主机的时候，这个方法尤其顺手。

绝大多数主机的控制面板还提供他们自己的备份功能，可以方便地转移主机商。比如说，cPanel一般提供“完整备份”功能给你，这一个gzip文件中就包括所有的文件、数据库以及email等。这是一个很棒的备份方法，但是这个归档文件只能由cPanel的系统管理员进行恢复。前面列出的办法可以保证与大多数主机提供商高度兼容。

Automattic 开发的 VaultPress 新的备份工具。这是一项收费服务，但是它提供了一个非常方便的办法，只要你的博客发生变化，就可以远程自动备份。如果你的博客非常重要，我强烈推荐你试试 VaultPress，现在提供很低的测试版价格。我已经使用VaultPress两周了，用满一个月之后你还可以看到一个使用评测。

对我个人而言，之前我使用 SFTP 和 phpMyAdmin 来备份我的博客，现在我使用 ValutPress。你是如何备份你的博客的呢？

译者注：对于WPChina.org，一直使用WP Db Backup和cPanel里的文件管理器来备份自己的网站，而经常使用phpMyadmin和FTP来帮助网友转移网站。

原文：Backing Up WordPress

WordPress 备份数据库的主要途径有三种，即通过插件备份，通过 phpmyAdmin 备份，和通过定期执行任务进行备份。

今天，魔格科技撰写长文：WordPress数据备份方案，详细介绍了各种 WordPress 备份数据库的办法。如果你还不熟悉 WordPress 备份的方法，一定不要错过此文。