Det finns några grundläggande åtgärder du kan vidta för att bidra till att begränsa din exponering för skadligt beteende riktad mot din WordPress installation. Min avsikt med denna artikel är inte att göra din webbplats skottsäkra (om sådant finns), men för att täcka de vanligaste bedrifter / svagheter. Fil och katalog behörigheter har diskuterats på andra ställen , men jag kommer lägga upp en påminnelse om de grundläggande regel-of-thumb: Set filer till 644 och kataloger till 755. Om du måste använda mindre säkra inställningar (till / wp-content/uploads / till exempel) du inte har en bra värd .
Underlåtenhet att göra följande betyder inte att din blogg kommer att hacka, det betyder bara att det är mer troligt. Så här går vi:
.. Täck dina meniga (eller: "! Fina knickers där") ...
- Ta bort onödiga filer / wp-admin/install.php och / wp-admin/upgrade.php ((När du är färdig med installationen eller uppgradera dessa filer inte kommer att behövas, och de kommer att ersättas med din nästa installation / uppgradering))
- Radera default inlägg och kommentar ((annonserar "Ny blogg! Kom SPAM mig!"))
- Gör det svårare att avslöja din SQL login info och hjälpa till att förhindra användare som tittar på när de inte borde:. I rotkatalogen (där wp-config.php är bosatt) Se till att det finns en htaccess-fil som innehåller följande ((Stänger ftp- stil surfar, bara igen index.php index.html som legitima index filer, som inte tillåter fjärråtkomst till wp-config.php)):
Options -Indexes
DirectoryIndex index.php index.html
Order Deny,Allow
Deny from all - Ändra behörigheter för wp-config.php till 600 (motsvarande rw ---) om möjligt ((En av de få undantagen från standard 644 regeln))
- Förhindra bläddra i kataloger som inte omfattas av WordPress: Släpp en tom (0-byte) fil som heter index.html i / wp-content/plugins / eller / wp-content/uploads / (till exempel) ((Anledningen till att vi använder html. istället. php är i raster fall PHP på servern vi fortfarande täckt på HTTP-nivå))
- För att förhindra SPAM, aktivera Akismet ((Akismet är bra på att sortera bort spam kommentarer)) (levereras med WordPress) och installera / aktivera Bad Behavior ((Bad Behavior stoppar en hel del spam / skadlig-aktivitet innan det ens träffar din webbplats)) Dessa två plugins är den minsta i spam prevention i min mening, men känn dig fri att experimentera på egen hand.
Andra överväganden för säkerhet är ditt val i en värd. Jag rekommenderar en professionell: 
Som alltid: Feedback welcome!
Sam,
Älskar det nya utseendet på din webbplats!
Hälsningar,
J. Pisano-mustech.net
Tack Joe! Jag tänkte skriva om det men fångades upp i tweaking, etc, etc.
Avstängd ingen följa också (vet inte varför jag inte gjorde det tidigare).
tack för detta, har jag just avslutat alla de steg du listade utom för steg 3.
kan du berätta exakt var jag ska infoga följande i htaccess-filen?
Alternativ-index
DirectoryIndex index.php index.html
Beställ Neka Tillåt
Neka från alla
Hej Martin:
Här är en kopia av min nuvarande htaccess sans gzip och en php5 AddHandler.:
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Tack Sam, har jag lagt den till min htaccess.
Tack för den stora "handledning"
Med detta htaccess ovan, kan jag bara tillägga den nedre delen börjar vid och vara lite mer säker?
Trevlig tutorial för vem är ny till WordPress.
Tack, jag använder oftast mod_security att få maximal säkerhet för alla platser ... men. Htaccess och andra verktyg är alltid välkomna ... trevlig mini tutorial, med enkla genomförbart steg .... Cheers mate.
Finns det något verktyg som automatiskt kan kontrollera om WP installationen har haft några extra spam-filer läggs etc. En av mina webbplatser har avnoterats på Google eftersom somehow 4152 spam webbadresser / filer hade lagts i wp-includes/js / TinyMCE / themes / advanced / images / XP / katalogen.
Det skulle vara snyggt om det fanns en diff funktion från kända goda WP till den installerade WP också någon form av rekursiv nyckelordssökning på hela anläggningen skulle vara bra.
Tack för handledningen ..
Kolla in min steg-för-steg guide för härdning WordPress 2.9.2
http://eyalestrin.blogspot.com/2010/05/hardening-guide-for-wordpress-292.html