今天我们的这篇文章，列出了8条加强WordPress网站安全性的建议，希望你不要忽视。

1. 做好备份

定期进行网站备份时最基本的要求。如果你不能定期备份，一旦出错，网站数据就有可能全部丢失，损失就无法挽回。这样的冒险完全不值得，只要养成良好的备份习惯，即使网站出现问题，也不必担心。

良好的备份习惯有3个要点：

1. 备份数据不能保存在服务器上（因为一旦服务器出问题，备份也可能会出问题；使用vps的用户尤其要注意这一点）
2. 备份能够自动进行（因为你未必能够记住每天去亲自备份）
3. 有必要保留多个备份（假如说你就保留了过去3天的备份，如果你出去度假5天，那么你保留的最老版本的备份，可能已经是出了问题的版本了）

因此，我们一般推荐 WordPress Database Backup 这样的插件来进行自动备份，它可以将文件给你自动发送到邮箱中。

2. 保持更新

WordPress开发社区非常活跃，版本更新速度快，甚至超过了网友们适应的速度。“升级WordPress可能会让我的插件/主题无法使用”，基于这样的考虑，是许多WPer不愿意及时升级WordPress的主要原因。升级WordPress确实存在这样的问题。

但是，不及时升级WordPress可能会更糟糕。因为 WordPress 每次升级都包含一些安全措施的修补。如果你没有及时更新，你的网站就存在漏洞，这样的网站就处于危险之中。

尤其是WordPress小版本的更新，比如从 3.2 到 3.2.1 ，修复了一些安全问题。因此一旦有这样的版本升级，你应该及时进行网站的升级。

对于WP网站而言，隐藏版本号或许可以降低一些风险。你可以在你当前所使用的主题的 functions.php 文件中添加如下代码，来隐藏 WordPress 的版本号：

remove_action(‘wp_head’, ‘wp_generator’);

不过这样并不能代替升级。及时升级仍然是最好的防御措施。

3. 更健壮的密码

或许你已经听无数人这么说了，要选择使用一个更复杂更安全的密码。密码太简单仍然是WordPress网站被黑的第一原因。

如何知道你的网站密码是不是很弱呢？容易。如果你的密码有任何的意义，比如说，名字拼音/生日/英文单词等等？如果你能拼出来，基本上就是很差劲的密码。密码应该是真正随机的、毫无意义的字母、数字和符号的组合。

无意义在这里非常重要。将“michael”换成“michae1”并不会更安全一些。因为这样的变换也非常容易猜到。

4. 经常检查你的网站

你的网站经常会在你不知情的情况下受到牵连。比如说，许多令人讨厌的脚本程序会在你的网页上包含一些只有搜索引擎才能查看到的链接。

尽快找到这些代码非常重要。因为一旦 Google 对你的网站进行惩罚，你的排名就要向后靠了，恢复排名的过程异常痛苦。

使用 Google 站长工具或其他类似工具可以帮你尽快查清网页中的链接。

5. 禁止显示目录索引

一般虚拟主机允许显示目录索引。这样，如果有人访问你的网站的某个目录（比如 wp-content/plugins/），就能查看到该目录下的文件名。“ 黑客”可以看到你的服务器上的所有文件名，这非常糟糕。

要修复这个问题很简单，只要使用文本编辑器打开 .htaccess 文件并添加如下代码即可：

#Prevent directory indexing
Options -Indexes

6. 不要使用FTP

FTP 是向网站上传文件的常用方式，但他并不安全。FTP传输过程可能会被入侵。如果你的主机允许，建议尽量使用 SFTP 来代替 FTP 。

SFTP 和 FTP 两种工作方式完全不同，但使用上完全一样。如果你不确定你的主机是否支持 SFTP，请联系你的主机商询问（绝大多数都支持 SFTP，包括我们的主机）。

7. 修改 wp-config.php 文件位置

默认的 wp-config.php 文件存放在网站根目录，但并不是一定要放在这里。你可以将它放到程序的上一级目录中（也就是根本不会出现在网站程序目录中）。

这很做起来很容易，只需要将文件放到上一级目录中。WordPress会知道去哪儿找到它。

此外，如果你已经使用WordPress有段时间，但是却还没有使用安全密钥，我们强烈建议你在 wp-config.php 文件中使用。

WordPress 使用 MD5 来加密用户的密码，加密后的密码很难被破解。但有些黑客用计算机列出了所有8位以内密码组合和对应的md5码，这样如果获取了加密后的密码，可以直接查出你的密码，非常恐怖。解决这一问题的常用办法就是给密码加“盐”。

你所要做的就是打开 https://api.wordpress.org/secret-key/1.1/salt/ ，将其生成代码复制到 wp-config.php 文件中，然后保存。

8. 小心下载的插件/主题

目前网上可以下载 WordPress 插件和主题的地方非常多，但并非所有的网站都可以相信。根据我们的经验，许多用户网站被黑，大都是使用了带有恶意代码的主题或插件。

在下载 WordPress 主题或插件之前，最好先 Google 一下人们对这个网站的看法。如果有很多的好评和链接，那就不妨去下。否则，还是离开为妙。

对于 WordPress 插件，最好的下载地方是 WordPress 官方插件目录。此外，你也可以去你信得过的地方购买付费插件。

对于 WordPress 主题，WordPress 官方主题目录非常棒。但有很多的优秀的主题开发者都将主题放到自己的网站上。

因此，如果你从第三方的网站上下载 WordPress 主题，强烈建议你立即检查网站（尤其是一些网站会在页脚放一些付费链接，Google可能会惩罚你的网站）。

办法很简单，只要在WordPress的配置文件 wp-config.php 文件中添加以下信息即可：

define('FTP_HOST', 'yoursite.com'); // FTP地址，你的域名或IP地址，推荐域名
define('FTP_USER', 'Your_FTP_Username'); // FTP用户名
define('FTP_PASS', 'Your_FTP_password'); // FTP密码
define('FTP_SSL', false); // 如果FTP支持加密链接，设置为true；否则默认为false

这样就可以直接升级WordPress了。

如果你有使用WordPress的技巧、心得，也欢迎向我们投递。

几乎每次WordPress发布新版本，我们总能看到许多网友有这样的评论。有的说，我要立即升级WordPress，有的说，先不升级，看看再说。那么，到底应该怎么做呢？

我们的建议是：如果发布的是主要版本的更新（比如从 WordPress 3.0.3 到 3.1，即将发布），那么建议你可以先看一看、等一等。因为新版本虽然有一些新功能，但也会有难免有一些小的bug，或者是和你的主题、插件有某些不兼容。等到大家都测试差不多了，再进行升级，可以帮你减少一些麻烦。

如果发布的是小版本号的升级（比如从WordPress 3.0.2到WordPress 3.0.3），那么建议你立即升级。小版本的升级一般都是修正更新，或者安全补丁，一般不会有功能上的变化，有bug的几率也比较低。因此，你可以尽快进行更新升级。

还有一些爱好者，他们不太喜欢经常升级更新，经常一个版本用很久；也有一些用户，太喜欢尝鲜，经常使用一些测试版，尝试每一个最新功能。

那么，你是怎么做的呢？你是每次都及时更新WordPress呢？还是喜欢等一段时间呢？欢迎各位WPer和我们一起分享你的经验。

WordPress 3.0.3 主要修正了一个远程发布错误。在某种情况下，这个bug会允许作者、贡献者一级的用户错误地进行编辑、发布或者删除文章。

这个问题只影响启用远程发布的WordPress网站。

默认远程发布功能是关闭的，但是你可以在WordPress控制台的“设置–撰写”里面进行设置。启用其功能可以让你通过手机或者电脑客户端软件进行文章发布。

WordPress 3.0.3 也可以通过“控制台->更新”进行升级。或者，点击这里下载 WordPress 3.0.3。

WordPress 的母公司 Automattic 收购了 Gravatar，这个提供头像服务的互联网公司。头像服务对于 WordPress 用户并不陌生，很多博客使用了 Gravatar 的这项服务，使用之后，每个评论的作者的头像都会显示在评论旁边。

使用头像服务，博客作者很容易知道哪些网友在自己的博客上留言；留言者可以通过这种方式来宣传自己。因此，当头像服务出现的时候，立即受到了很多博客的喜爱。除了 Gravatar 之外，MyBloglog 等其他互联网公司也开始提供这一服务。

WordPress 的母公司 Automattic 这次收购 Gravatar，将会更加坚定很多 WordPress 用户使用 Gravatar 的决心。在这次收购之后，Gravatar 运行速度比以前快了三倍；收购之后，Gravatar 还有如下改进计划：

• We’re going to make all of the Premium features free, and refund anyone who bought them in the last 60 days.
• Move the gravatar serving to a Content Delivery Network so not only will they be fast, it’ll be low latency and not slow down a page load.
• Take the million or so avatars we have on WordPress.com and make them available through the Gravatar API, to compliment the 115k already here.
• From Gravatar, integrate them into all WordPress.com templates and bring features like multiple avatars over.
• From WordPress.com, bring the bigger sizes (128px) over and make that available for any Gravatar. Currently Gravatars are only available up to 80px.
• Allow Gravatar profile pages with Microformat support for things like XFN rel="me" and hCard.
• Develop a new API that has cleaner URLs and allows Gravatars to be addressed by things like URL in addition to (or instead of) email addresses.
• Rewrite the application itself (site.gravatar.com) to fit directly into our WordPress.com grid, for internet-scale performance and reliability.

Categories Autolink，当文章、页面里引用分类的名字的时候，自动转换为此分类的链接。

Earthones，使用友好、自然的绿色和褐色方案来替代控制台默认的蓝色。

Feedsmith Plugins，因为一个潜在的安全问题，进行了更新。这个插件将你的 blog feed 重新定向到你的 feedburner feed。

Matakeywords，使用 WordPress 2.3 的自带标签来为你 blog 上的文章和页面自动创建关键词标签 meta。

One-click Framework，允许你的插件和主题自动更新到最新版本，再也不用担心用的版本比较旧。

Power Thumbnail，帮助你创建给定尺寸的小图片。提供两种方式。

Sidepic Widget，在侧边拦放一个图片，标题，图片连接，CSS样式和评论等参数可以修改。

Vitiger Image Resizer，允许你使用 WordPress 现有的附件西贡，来上传、剪切、重设图片尺寸等。

原文出处: WordPress Plugin Releases for 10/8

中文翻译: http://wpchina.org/wordpress-plugin-releases-for-108-21/

特别声明: 如果你喜欢上述某个插件，请留言说明。本站将依据用户喜爱程度，对相应插件进行进一步介绍，或进行翻译。