阅读本
6硬化WordPress的简单步骤
有一些基本的步骤,你可以采取有助于限制您接触到恶意行为,在你的WordPress博客。 我对这篇文章的意图是不是让您的网站防弹(如果存在这样的事情),但包括最常见的攻击/弱点。 文件和目录权限进行了讨论,但我会后对基本规则的拇指的提醒:设置文件为644和目录755。 如果你有使用不太安全的设置(/ wp-content/uploads /例如),你没有一个好东道主。
未能做到以下几点,并不意味着你的博客被黑客攻破,它只是意味着它更可能。 所以在这里我们去:
... ...盖你的士兵(或:“有尼斯短裤”) ...
- 删除不必要的文件/ wp-admin/install.php / wp-admin/upgrade.php(一旦您完成安装或升级这些文件将不会被需要,他们将与您的未来安装/升级更换)
- 删除默认Post和Comment((宣传“新博客!来垃圾邮件!”))
- 设为更难透露您的SQL登录信息和帮助阻止用户浏览他们不应该:在您的根目录(wp - config.php文件所在的地方),确保有一个htaccess文件包含以下((关闭FTP风格浏览;只有承认为合法的索引文件的index.php index.html的,不要让任何远程访问的wp - config.php)):
Options -Indexes
DirectoryIndex index.php index.html
Order Deny,Allow
Deny from all - wp - config.php文件的权限更改为600(相当于RW ---)((一个标准的644规则的少数例外),如果可能的话)
- 防止由WordPress未涉及目录浏览:掉落一个空(0字节)的文件名为/ wp-content/plugins /或/ wp-content/uploads /(例如)(index.html的(我们之所以使用HTML。代替。PHP是在我们仍然覆盖在HTTP级别的服务器上的PHP休息))
- 为了防止垃圾邮件,激活Akismet((Akismet是伟大的垃圾邮件的评论除草))(与WordPress)和安装/ 激活不良行为((不良行为停止了大量垃圾邮件/恶意活动之前点击您的网站))这两个插件是在我看来,防止垃圾邮件的最低,但随时在自己的实验。
其他安全考虑,您所选择的主机。 我推荐一个专业: 
一如往常:反馈欢迎!
15个用户评论硬化WordPress的“6个简单的步骤”
感谢,我刚刚完成了除第3步中列出的所有步骤。
你能告诉我究竟在何处,我应该在htaccess文件中插入下面的?
选项指数
DirectoryIndex index.php文件的index.html
订购拒绝,允许
拒绝所有
您好马丁:
这里有一个我目前htaccess文件SANS GZIP和PHP5的AddHandler的副本。
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
感谢山姆,我把它添加到我的htaccess文件。
感谢伟大的“教程” 
以上,htaccess文件,我可以只添加底部的一部分,开始位更加安全吗?
很好的教程是给谁使用WordPress。
谢谢,我通常使用mod_security,任何网站获得最大的安全性... ...但是。htaccess文件和其他工具都随时欢迎... ...漂亮的小教程,方便可行的步骤... ...欢呼队友。
是否有任何工具,可以自动检查看看已安装的WP的任何额外的垃圾邮件文件的补充,等我的一个网站在谷歌已经摘牌,因为不知何故4152垃圾邮件的URL /文件已在wp-includes/js添加/ TinyMCE的/主题/高级/图像/ XP /目录。
这将是整齐的,如果有一个diff函数从已知良好的WP安装可湿性粉剂也有一些在整个安装递归搜索关键字的排序将是一件好事。
感谢本教程..
退房一步一步的指导我硬化WordPress的2.9.2
http://eyalestrin.blogspot.com/2010/05/hardening-guide-for-wordpress-292.html
