今天我们的这篇文章，列出了8条加强WordPress网站安全性的建议，希望你不要忽视。

1. 做好备份

定期进行网站备份时最基本的要求。如果你不能定期备份，一旦出错，网站数据就有可能全部丢失，损失就无法挽回。这样的冒险完全不值得，只要养成良好的备份习惯，即使网站出现问题，也不必担心。

良好的备份习惯有3个要点：

1. 备份数据不能保存在服务器上（因为一旦服务器出问题，备份也可能会出问题；使用vps的用户尤其要注意这一点）
2. 备份能够自动进行（因为你未必能够记住每天去亲自备份）
3. 有必要保留多个备份（假如说你就保留了过去3天的备份，如果你出去度假5天，那么你保留的最老版本的备份，可能已经是出了问题的版本了）

因此，我们一般推荐 WordPress Database Backup 这样的插件来进行自动备份，它可以将文件给你自动发送到邮箱中。

2. 保持更新

WordPress开发社区非常活跃，版本更新速度快，甚至超过了网友们适应的速度。“升级WordPress可能会让我的插件/主题无法使用”，基于这样的考虑，是许多WPer不愿意及时升级WordPress的主要原因。升级WordPress确实存在这样的问题。

但是，不及时升级WordPress可能会更糟糕。因为 WordPress 每次升级都包含一些安全措施的修补。如果你没有及时更新，你的网站就存在漏洞，这样的网站就处于危险之中。

尤其是WordPress小版本的更新，比如从 3.2 到 3.2.1 ，修复了一些安全问题。因此一旦有这样的版本升级，你应该及时进行网站的升级。

对于WP网站而言，隐藏版本号或许可以降低一些风险。你可以在你当前所使用的主题的 functions.php 文件中添加如下代码，来隐藏 WordPress 的版本号：

remove_action(‘wp_head’, ‘wp_generator’);

不过这样并不能代替升级。及时升级仍然是最好的防御措施。

3. 更健壮的密码

或许你已经听无数人这么说了，要选择使用一个更复杂更安全的密码。密码太简单仍然是WordPress网站被黑的第一原因。

如何知道你的网站密码是不是很弱呢？容易。如果你的密码有任何的意义，比如说，名字拼音/生日/英文单词等等？如果你能拼出来，基本上就是很差劲的密码。密码应该是真正随机的、毫无意义的字母、数字和符号的组合。

无意义在这里非常重要。将“michael”换成“michae1”并不会更安全一些。因为这样的变换也非常容易猜到。

4. 经常检查你的网站

你的网站经常会在你不知情的情况下受到牵连。比如说，许多令人讨厌的脚本程序会在你的网页上包含一些只有搜索引擎才能查看到的链接。

尽快找到这些代码非常重要。因为一旦 Google 对你的网站进行惩罚，你的排名就要向后靠了，恢复排名的过程异常痛苦。

使用 Google 站长工具或其他类似工具可以帮你尽快查清网页中的链接。

5. 禁止显示目录索引

一般虚拟主机允许显示目录索引。这样，如果有人访问你的网站的某个目录（比如 wp-content/plugins/），就能查看到该目录下的文件名。“ 黑客”可以看到你的服务器上的所有文件名，这非常糟糕。

要修复这个问题很简单，只要使用文本编辑器打开 .htaccess 文件并添加如下代码即可：

#Prevent directory indexing
Options -Indexes

6. 不要使用FTP

FTP 是向网站上传文件的常用方式，但他并不安全。FTP传输过程可能会被入侵。如果你的主机允许，建议尽量使用 SFTP 来代替 FTP 。

SFTP 和 FTP 两种工作方式完全不同，但使用上完全一样。如果你不确定你的主机是否支持 SFTP，请联系你的主机商询问（绝大多数都支持 SFTP，包括我们的主机）。

7. 修改 wp-config.php 文件位置

默认的 wp-config.php 文件存放在网站根目录，但并不是一定要放在这里。你可以将它放到程序的上一级目录中（也就是根本不会出现在网站程序目录中）。

这很做起来很容易，只需要将文件放到上一级目录中。WordPress会知道去哪儿找到它。

此外，如果你已经使用WordPress有段时间，但是却还没有使用安全密钥，我们强烈建议你在 wp-config.php 文件中使用。

WordPress 使用 MD5 来加密用户的密码，加密后的密码很难被破解。但有些黑客用计算机列出了所有8位以内密码组合和对应的md5码，这样如果获取了加密后的密码，可以直接查出你的密码，非常恐怖。解决这一问题的常用办法就是给密码加“盐”。

你所要做的就是打开 https://api.wordpress.org/secret-key/1.1/salt/ ，将其生成代码复制到 wp-config.php 文件中，然后保存。

8. 小心下载的插件/主题

目前网上可以下载 WordPress 插件和主题的地方非常多，但并非所有的网站都可以相信。根据我们的经验，许多用户网站被黑，大都是使用了带有恶意代码的主题或插件。

在下载 WordPress 主题或插件之前，最好先 Google 一下人们对这个网站的看法。如果有很多的好评和链接，那就不妨去下。否则，还是离开为妙。

对于 WordPress 插件，最好的下载地方是 WordPress 官方插件目录。此外，你也可以去你信得过的地方购买付费插件。

对于 WordPress 主题，WordPress 官方主题目录非常棒。但有很多的优秀的主题开发者都将主题放到自己的网站上。

因此，如果你从第三方的网站上下载 WordPress 主题，强烈建议你立即检查网站（尤其是一些网站会在页脚放一些付费链接，Google可能会惩罚你的网站）。

WordPress 3.0.3 主要修正了一个远程发布错误。在某种情况下，这个bug会允许作者、贡献者一级的用户错误地进行编辑、发布或者删除文章。

这个问题只影响启用远程发布的WordPress网站。

默认远程发布功能是关闭的，但是你可以在WordPress控制台的“设置–撰写”里面进行设置。启用其功能可以让你通过手机或者电脑客户端软件进行文章发布。

WordPress 3.0.3 也可以通过“控制台->更新”进行升级。或者，点击这里下载 WordPress 3.0.3。

目前 WordPress 3.1 还在测试中，建议现在使用 WordPress 3.0 以及更早版本的网友，及时升级你的WordPress到最新版本。你可以在 WordPress 的控制台，通过点击升级按钮一键升级。也可以在这里下载WordPress最新稳定版。

以下是来自 WordPress 官方博客的说明：

WordPress 3.0.2 is available and is a mandatory security update for all previous WordPress versions. Haiku has become traditional:

Fixed on day zero
One-click update makes you safe
This used to be hard

This maintenance release fixes a moderate security issue that could allow a malicious Author-level user to gain further access to the site, addresses a handful of bugs, and provides some additional security enhancements. Big thanks to Vladimir Kolesnikov for detailed and responsible disclosure of the security issue!

Download 3.0.2 or update automatically from the Dashboard > Updates menu in your site’s admin area. You should update immediately even if you do not have untrusted users.

下载 WordPress 3.0.2。

久酷博客所提到的主要防范方式包括：即使更新 WordPress 版本；修改默认的 WordPress 帐号；限制登陆次数等。详细的内容请查看久酷风云的原文：wordpress 之安全篇。

除此之外，关于 WordPress 的安全性，也可以参考本站以前的几篇文章：

• 10招提高你的WordPress安全性
• 10大 WordPress 安全插件
• 十招教你打造一个安全的博客

插件中心（Plugin Central）是一个用于 WordPress 插件管理的扩展，可以自动安装和更新 WordPress 插件。使用于 WordPress 2.5 及更高版本中。输入插件名字就可以安装插件，同时可以从一次安装多个插件。

发布网址 | 下载网址

清除登录错误 – Login Error Cleanup

当你登录 WordPress 账户，输入错误的用户名和密码的时候，系统将会返回“错误”信息。可以阻止别人猜测你用户名和密码的。

发布网址 | 下载网址

ReadySetFlickr

ReadySetFlickr 用于展示 Flickr 上面的照片。有两个布局选项。也支持随机和最新选项。

发布网址 | 下载网址

Widget化的管理控制台 – Widgetized Admin Dashboard

Widgetized Admin Dashboard，通过设计 – Widget 区域设置，让你的 WordPress 控制台曾 Widget化管理。适用于 WordPress 2.5 及更高版本。

发布网址 | 下载网址

KeywordLuv

KeywordLuv 可以将评论者的名字和他们的关键词分开，允许用户改进他们网站的锚文本。

发布网址 | 下载网址

登录框 – Login-box

Login-box 给你的 WordPress 所有页面增加一个隐藏的登录框，让你可以快速登录。通过 Ctrl + E 快捷键呼出此登录框。

发布网址 | 下载网址

原文：WordPress Plugin releases for 4/7 by Keith Dsouza

中文：WordPress 插件发布汇集 – 4月7日[WTC] by Jiang

前几天，我们发布了一篇关于 WordPress 安全插件的文章，10大 WordPress 安全插件，该文介绍了增强 WordPress 安全性的 10 个常用插件。

不过，我们介绍的那篇为英文文章，对于很多读者来说可能并不方便阅读。现在，枫叶向风网友为您翻译了这篇文章，感兴趣的读者请阅读枫叶的译文：十大 WordPress 安全插件（译）。

在 speckyboy.com 的这篇文章，介绍的10款安全保护类插件分别有：WordPress Database Buckup（WP备份插件），Semisecure Login（加强登录保护），Ask Apache Password Protect，Force SSL（强制SSL），WP Security Scan（安全扫描），Secure Files，WP-SpamFree（防垃圾留言），BackUpWordPress（备份WordPress），Anonymous WordPress Plugns Updates（匿名WordPress插件更新），Replace WP-version（替换WP版本）。

这是一篇很棒的文章，原文地址：Top 10 Security and Protection Plugins for WordPress，欢迎感兴趣的博客全面翻译此文。

那么，作为我们普通的用户，应该如何提高WordPress的安全性呢？Noupe 给我们提供了10条建议，来提升我们的WordPress博客安全性；Neo网友将此文翻译成了中文，我们来看看这十招都有什么：1.不允许任何人搜索到你的服务器信息；2.阻止搜索引擎（搜索爬虫）搜索以WP-为开头的文件夹里面的文件；3.把你的版本号从Meta标签中删除掉；4.捍卫你的wp-admin文件夹；5.注意保持及时更新；6.定期备份博客的数据库；7.升级你的WordPress为最新版本；8.使用SSH/Shell方式代替FTP登录操作；9.不要再担忧你的wp-config.php文件；10.为你的WordPress用户设置一个强悍的密码。

想要了解具体应该怎么做么？那就去neo的博客查看他的译文吧：wordpress 安全保密hacks。