在瀏覽器中打開?http://你的WordPress安裝地址/wp-admin/images/?看看有什么效果?

在瀏覽器中打開?http://你的WordPress安裝地址/wp-admin/?，隨意輸入用戶名和密碼，看看你的博客允許你輸錯多少次？

在images/目錄下放置一個index.html或index.php

index.html放置跳轉到404的代碼

一、設置一個安全的密碼

雖然這已經是老生常談了，但是還是建議給你的?WordPress設置一個安全的密碼，最好給WordPress設置一個單獨的密碼，即這個密碼在別的地方還沒有用過。

二、隱藏你的目錄

假設你的博客地址是www.your.com ，默認情況下，如果訪問這個網址www.your.com/wp-content/plugins，將會以列表的形式把plugins目錄下的文件列出來，這樣別人就輕而易舉的知道你安裝了哪些插件，黑客可能會利用這些插件的漏洞來攻擊你的網站，那可不好！安全做法是在這個目錄下放入一個空白的index.html。同樣也可以在其他你不想讓別人看到的目錄中放置index.html，例如wp-content

三、使用Login Lockdown插件

如果別人不知道你的密碼，他又想非法登錄你的博客后臺，那他一般會選擇暴力破解你的密碼，即一個一個地試，直到破譯你的密碼為止。使用Login Lockdown插件在一定程度上阻止別人測試你的密碼，如果探測到一個 IP 段在一時間段內登錄失敗的次數超過了某一數目，就會自動鎖定其登錄功能，并禁止此 IP 段的使用者登入系統。這個登錄失敗的次數和限制登錄的時間間隔等，都可以在你的后臺設置。

四、及時備份你的博客

使用WordPress Database Backup插件可以很方便的備份你的博客數據庫，可以選擇兩種方式備份：一、備份到你的網站空間的某個目錄下；二、把備份文件發送到你的郵箱。我是把備份文件發送到我的郵箱，這樣可以防止網站服務器掛了，備份也沒了.

五、去除header.php中的版本信息

普通模板會在header.php中加入如下信息來顯示使用中的WP版本，這樣不良企圖的人會根據版本來進行攻擊。把下面的代碼刪除：

1	<meta?name="generator"?content="WordPress <?php bloginfo(‘version’); ?>" />

六、保護 wp-config.php 文件

將wp-config.php的權限設置為只讀，這樣一般別人就看不到了。另外你可以在.htaccess 文件中加入以下語句來防止其它人瀏覽到 wp-config.php 文件：

1 2 3 4 5

# protect wpconfig.php <files wp-config.php> Order deny,allow deny from all </files>

?

七、更改登錄用戶名，隱藏你的登錄名

安裝好WordPress?后，就應該立刻使用自己的用戶名和密碼創建另一個有管理員權限的用戶，并將 "admin" 用戶刪除。WordPress?中有一個很好的方法，就是可以隱藏你的登錄名。在"用戶"設置中，你可以把你的"對外顯示為"更改為你的昵稱，這樣在你發布文章的時候，給訪客回復的時候，顯示的就是你的昵稱，而不是你的后臺登錄名。

轉載于:https://www.cnblogs.com/xbdeng/p/5966438.html

總結

以上是生活随笔為你收集整理的板邓：wordpress建站不得不知的安全防护（二）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。