芒果小站

保证 WordPress 的安全性是非常有必要的，以下是翻译整理自国外的 3 个 WordPress 安全技巧。

1. 确保 /wp-admin/ 目录的安全

很明显，管理目录 /wp-admin/ 存放了大量重要文件。WordPress 默认情况下并未对此目录设定访问限制，这也许会成为不法访客的后门。

据此，不妨建立一个 .htaccess 文件来阻止非特定 IP 地址对该目录的访问。以下是该 .htaccess 中应该添加的代码：

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
</LIMIT>

其中 xx.xx.xx.xx 为放行的 IP 地址。当然如果 IP 地址经常改变，也可以使用一款登录尝试限制插件，芒果在 Limit Login Attempts，登录尝试限制插件一文中已经做过介绍，可以详细参考。

2. 隐藏插件目录

由 WordPress 插件所带来的错误和漏洞，可能被利用来侵害你的网站。

因主机而异，有些时候直接访问 /wp-content/plugins/ 会暴露目录文件。为了掩盖这一现象，只需在此目录放置一个空白的 index.html 文件，其他目录也是一样的道理。WordPress 2.8 版本中默认已自带 index.php 空白文件。

3. 及时安装补丁和更新

为了博客安全运行，需要及时使程序保持最新。建议订阅 WordPress 开发博客 以获得相关的信息。

另外，去除源代码中的 WordPress 版本标识能防止程序版本的泄露，可以在 header.php 文件中用以下代码移除：

<?php remove_action('wp_head', 'wp_generator'); ?>

总之，小心驶得万年船，平时多注意安全防护，才能有效免除入侵挂马的烦扰。

英文原稿：3 Must Apply Security Tips for WordPress | DailyBlogTips
翻译整理：3 个必须的 WordPress 安全技巧 | 芒果