Ci sono alcuni passaggi di base si può prendere per aiutare ridurre il rischio di comportamenti dannosi diretti al vostro WordPress installazione. La mia intenzione con questo articolo non è quello di rendere il tuo sito web a prova di proiettile (se esiste una cosa simile), ma per coprire le azioni più comuni / debolezza. I permessi dei file e directory sono stati discussi altrove, ma vi posterò un promemoria sulle regole di base del pollice: impostare i file e le directory a 644 su 755. Se è necessario utilizzare le impostazioni meno sicure (per wp-content/uploads / / per esempio) non si dispone di un buon padrone di casa .
La mancata osservanza di quanto segue non significa che il blog verrà violato, significa solo che è più probabile. Quindi qui si va:
.. Coprire i privati (o: "mutande bello lì") ...
- Eliminare i file non necessari e / wp-admin/install.php / wp-admin/upgrade.php ((Una volta che hai finito con l'installazione o l'aggiornamento di questi file non saranno necessari e saranno sostituiti con il tuo prossima installazione / aggiornamento))
- Elimina messaggio predefinito e commenti ((pubblicizza "Blog New! Vieni SPAM me!"))
- Rendere più difficile rivelare il vostro SQL informazioni di accesso e aiutare a prevenire utenti stanno dove non dovrebbero:. Nella directory principale (dove risiede wp-config.php) Assicurarsi che non vi è un file htaccess contenente le seguenti ((Disattiva ftp- navigazione stile, solo riconoscere index.html index.php come file di indice legittimi; Non consentire l'accesso remoto a QUALSIASI wp-config.php)):
Options -Indexes
DirectoryIndex index.php index.html
Order Deny,Allow
Deny from all - Modificare le autorizzazioni per wp-config.php a 600 (equivalente a rw ---), se possibile ((Una delle poche eccezioni a tale norma regola 644))
- Impedire la navigazione delle directory non coperti da WordPress: Eliminare un vuoto (0 byte) file denominato index.html in / wp-content/plugins / o / wp-content/uploads / (per esempio) ((Il motivo per cui usare html. invece di. php è in pause caso PHP sul server che stiamo ancora coperto a livello HTTP))
- Per prevenire lo SPAM, attivare Akismet ((Akismet è grande a estirpare commenti di spam)) (viene fornito con WordPress) e installare / attivare Bad Behavior ((Bad Behavior si ferma un sacco di spam / malware-attività prima che colpisca mai il vostro sito)) Questi due plugin sono il minimo per la prevenzione dello spam, a mio parere, ma sentitevi liberi di sperimentare da soli.
Altre considerazioni per la sicurezza sono la vostra scelta in un ospite. Vi consiglio un professionista: 
Come sempre: Feedback benvenuti!
Sam,
Amore il nuovo look del tuo sito!
Saluti,
J. Pisano-mustech.net
Grazie Joe! Stavo per pubblicare su di esso, ma coinvolto in tweaking, ecc, ecc
Spento no-follow troppo (non so perché non l'ho fatto prima).
grazie per questo, ho appena completato tutti i passaggi che hai elencato tranne che per il punto 3.
potrebbe dirmi esattamente dove dovrei inserire il seguente nel file htaccess?
Options-Indexes
DirectoryIndex index.php index.html
Ordina Nega, Consenti
Deny from all
Ciao Martin:
Ecco una copia del mio attuale htaccess sans gzip e PHP5 AddHandler.:
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
grazie Sam, l'ho aggiunto alla mia htaccess.
Grazie per la grande "tutorial"
Con quel file htaccess sopra, posso solo aggiungere la parte inferiore a partire e di essere un po 'più sicuro?
Bel tutorial per chi è nuovo a WordPress.
Grazie, io di solito uso mod_security per ottenere la massima sicurezza per qualsiasi sito ... ma. Htaccess e altri strumenti sono sempre i benvenuti ... mini tutorial bello, con semplici operazioni fattibile .... compagno di applausi.
Ci sono strumenti in grado di controllare automaticamente se l'installazione WP ha avuto alcun file di spam in più aggiunto, ecc Uno dei miei siti è stata cancellata a google perché in qualche modo 4152 url spam / files sono stati aggiunti nei wp-includes/js / tinymce / themes / advanced / images / xp / directory.
Sarebbe pulito se ci fosse una funzione diff dal WP nota bene al WP installata anche una sorta di ricerca per parola chiave ricorsiva su tutto l'impianto sarebbe buona.
grazie per il tutorial ..
Check out my step-by-step per l'indurimento WordPress 2.9.2
http://eyalestrin.blogspot.com/2010/05/hardening-guide-for-wordpress-292.html