WordPress现在变得越来越流行了，如果你也使用WordPress，有没有想过你的WordPress安全吗？它会不会有一天因受攻击而倒下呢？下面我搜集了一些简单方法让你的WordPress变得安全一点！

保持更新WordPress
让你的WordPress程序保持最新现在WordPress的最新版本号是3.3.1，你已经升级了吗？保持更新WordPress，这应该是最好的办法了。因为官方不断的进行更新，除了增加新的功能外，及时修补安全隐患显得更为重要。还有记得在每次升级WordPress后，一定要把 install.php文件删去！而升级WordPress并不是一件可怕的事，只要在升级前记得对你的数据库进行备份就行了。哪怕在升级中出了什么状况也能回头，防止数据丢失。定期备份博客的数据库，这是一个持久的事情，你需要经常性的或者定期性的备份你博客的数据库，如果你不很熟悉使用phpadmin进行数据备份，可以考虑使用下面的备份插件：wp-db-backup

保护WordPress的重要文件和重要的文件夹
建议把config.php的权限设置为只读，否则别人可以通过非法获取并修改你的config.php文件，轻易把你的WordPress盗去！WordPress的目录安全吗Andor在他的文章中指出, 在搜索引擎中搜索关键字”Index of /wp-content/plugins”, 得到的结果将是大堆的WordPress插件目录.我试了下, 果然, 在Google.com搜索得到了约569,000条记录(图附在后面). 大站的小站的, 各式各样主机上的, 应有尽有. 更有趣的是, 随意点击一条记录, 该站安装的插件列表就出来了.解决的方法可以通过设置主机目录访问权限来禁止非法访问, 也可以在目录下放入一个空白的或自己写的index.php或index.html. 可能存在此类问题的目录还有很多, themes目录, wp-admin下面的子目录等等.

使用 .htaccess 提高 WordPress 的安全性和可用性
保护 .htaccess 自身的安全性。阻止用户通过读取和写入 .htaceess 来更改安全性的设置。
<files .htaccess>
order allow,deny
deny from all
</files>
保护 wp-config.php 文件。我们可以通过 .htaccess 文件阻止用户读取和写入 WordPress 的主配置文件。这个指令假设 WordPress 是安装在站带你的根目录。
<files wp-config.php>
order allow,deny
deny from all
</files>

禁止浏览目录。这将阻止服务器在没有找到 index 文件（如 index.html，index.php 等等）的情况下显示文件夹目录内容。这能阻止用户看到文件夹的内容使得更难对网站发动攻击。
# disable directory browsing
Options All -Indexes
防止图片盗链。这个能够阻止其他网站盗链本网站的图片，迫使他们要么指向整个页面，或者其他存储图像的地方。这个保存了宝贵的带宽并且能够增加流量（虽然只是一点点）。下面的代码将会显示 stealingisbad.gif 这张图片，当有人试着热链到到你的网站来显示图片
#disable hotlinking of images
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?yourdomain.com/.*$ [NC]
#RewriteRule \.(gif|jpg|png)$ http://www.yourdomain.com/stealingisbad.gif [R,L]

在你的站点给每个 URL 设置符合规定的或者“标准”的链接。这能够帮助提高网站的可用性和提高网站在搜索引擎中的排名。总之，它会把来自 http://yourdomain.com 的请求重定向到 http://www.yourdomain.com/.
# set the canonical url
RewriteEngine On
RewriteCond %{HTTP_HOST} ^yourdomain\.com$ [NC]
RewriteRule ^(.*)$ http://www.yourdomain.com/$1 [R=301,L]

用一个robots文件
在你的根目录下放一个robots.txt 文件，告诉搜索引擎哪些内容你不想被收录。这样可以保证一些敏感文件不被搜索引擎收录进而被人搜到。这里是我的robots.txt文件，文章作者的robots.txt如下：
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /trackback
Disallow: /feed
Disallow: /comments
Disallow: */trackback
Disallow: */feed
Disallow: */comments
Allow: /wp-content/uploads

过滤垃圾评论
垃圾评论的害处我想就不用说了，而且它们更有可能带有一些危害你网站的代码什么的，所以一定要把垃圾评论过滤掉。插件和相关资源：Akismet

用户权限的安全
WordPress中的默认管理员为admin。在这里建议大家在blog建成后，新建一个新的用户并设置为最高的管理权限，以代替原有的admin，同时把admin删除。WordPress提供让访客自己注册账号的功能，建议把该功能取消或者限制其它用户权限为只能发表文章。取消方法，进入 WordPress后台：选项-常规，把“允许用户注册去”留空！删除默认的admin用户

隐藏wordpress版本信息
wp默认主题首页都有版本信息，黑客们会了解你使用的版本后找相应的漏洞。隐藏的方法是在后台主题修改里删掉下面的代码：

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>”/>

使用SSH/Shell方式代替FTP登录操作
这里有一些很好的建议，点击这里查看。如果某人获得了你的FTP的登录信息（当然包括密码咯），他们就可以在登录后胡作非为的，这是很可怕的事情哦…而使用SSH/Shell你就大可放心，因为他们的任何传输都是通过加密的，保证安全性！其实像FlashFXP这类的软件其安全性很差的，很容易就能获得你保存的个人登录信息。