非凡设计网

大多数人不会在维护WordPress安装上耗费过多时间。 尽管如此，WordPress的安全问题仍然应该放在最重要的位置上。

服务器端和.htaccess

保护WordPress网站安全的第一步自然是寻找安全的虚拟主机托管商。 服务器安全是所有安全措施的基础。

锁定.htaccess

.htaccess文件有很多用途，但它最主要的功能，是防止黑客入侵。你可以在.htaccess文件里指定一些有权登录你的WordPress后台的IP地址。

在.htaccess文件里加入下面的代码可以达到这个效果：

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
#IP address to Whitelist
allow from 123.456.789.012

用你指定的IP地址代替其中的123.456.789.012。

禁用目录浏览

一些服务器设置允许目录浏览，即你可以通过http://yoursite.com/wp-plugins/这样的链接看到自己的插件内容。 要禁用目录浏览，只需要在.htaccess文件里加上下面的代码：

Options All -Indexes

保护.htaccess

.htaccess文件的安全保护不容忽视。 首先你可以将文件的权限改为CHMOD 644。通过FTP登录进入服务器，然后进入网站根目录（通常是public_html文件夹，除非你为WordPress另设了一个独立文件夹）。 找到.htaccess文件后右击文件，将权限设为644。第二种方法是在.htaccess文件的最下部分加上以下代码：

<Files wp-config.php>
Order Deny,Allow
Deny from All
</Files>

优化wp-config文件

.htaccess文件之后接下来是wp-config.php文件。

移动wp-config文件

从WordPress 2.6开始，WordPress用户可以将wp-config.php文件移到当前安装文件的上级文件夹中。 如果在当前WordPress目录下没有发现wp-config文件，WordPress会自动检查wp-config文件是否在其上层目录中。