本文将讨论一些有关于增强Wordpress博客安全性的安全技术，这些技术在那些托管的环境下尤为有效。 

首先我要说明的是本向导并不适合所有人，并且有可能影响一些第三方插件或者模板。 

情况还没有想象中的糟糕，如果你能够应用本向导中的知识，你就可以显著地增强你的博客的安全性。包括暴力攻击、插件枚举、目录列表、敏感信息泄露以及文件包含漏洞等类型的攻击都能被阻止。 

重要说明：请确保在操作之前备份好了您的Wordpress文件和数据库。 

步骤1 – 限制wp-content 和wp-includes

使用 .htaccess 中的 <file> 指令，我们可以限制访问除图像、样式表以及JavaScript之外的文件。这里的 .htaccess 文件看起来如下：

Order Allow,Deny
Deny from all
<Files ~ “\.(css|jpe?g|png|gif|js)$”>
 Allow from all
</Files>

如果你想要允许特定的插件如Democracy被访问，我们可以将下面的指令追加到 wp-content/.htaccess 文件末尾：

<Files “democracy.php”>
 Allow from all
</Files>

将以上内容保存到您的 wp-content 和 wp-includes 目录下的 .htaccess 文件中。补充说明一下，您还可以允许指定的某文件被访问，这样能使您的插件和/或模板正常工作，如果需要的话。这是一个更简洁的办法。

步骤2 – 限制访问 wp-admin

要限制访问 wp-admin，您有两种选择。选择以下方法中的一种，把包含相应指令的 .htaccess 文件放到您的 wp-admin 目录下。

您可以限制 IP:

order deny,allow
allow from a.b.c.d # 这里的a.b.c.d就是您的静态 IP
deny from all

以上代码将阻止那些IP地址不是 a.b.c.d 的访客通过浏览器访问此目录中的任何文件。这里的“a.b.c.d”应当与您的静态IP地址一致。

或者您还可以通过密码来限制：

AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName “restricted”
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any

这里有一个bug。以上的规则代码会引发一个问题，如果那些在您的博客上发表评论的人没有输入邮箱地址，那么就会弹出一个输入密码的输入框。这是因为某些样式表和图片文件也位于wp-admin 目录之中。为了解决这一问题，我们可以将以上的代码包含于文件指令中，这个文件指令只会阻止 .php 文件被访问，不会阻止其它文件。这仍然能够阻止许多直接的攻击，并且同时还提供了许多额外的特性。下面是一个改进版：

<Files ~ “\.(php)$”>
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName “restricted”
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

就是这样，有了这些措施，您的博客将更加安全。

    新的Web开发框架正在以一种人们无法企及的速度涌现出来。在本文中，我们将会讨论你的下一个热门Web应用程序应该使用什么样的框架。
    在如今这个时代，抢在您的竞争对手之前发布一个已完成的优雅的应用程序是至关重要的。从头开始编写代码(琐碎事情除外)是一件很费时的事，开发者要花很多时间去重新发明轮子，而这些时间如果用于开发新功能或完善代码会更好。
    这就是Web开发框架存在的理由。它们往往已经包含了应用程序中所有的通用模块，包括数据库存取、权限控制、会话管理以及其它更多功能。
    今天，我们将会讨论的是，你在选择一个框架之前所需要关心的各方面因素。有兴趣吗？那就马上开始。

1. 使用环境

    在你开始考察一个框架之前，你需要列出你的需求，看看这框架能否满足它们。
    如果符合下面这些情形，你需要使用框架：
        你的应用程序主要基于CRUD操作；
        你需要将UI与底层逻辑合理地分开，但你没有时间去实现一个合适的系统；
        你发现你为自己的Web应用程序所编写的程序库覆盖了用户授权、会话以及其它相关的常用功能；
        你的老板希望你能在两天内为他开发一个CMS，而且你已经对框架有所了解；

如果符合下面这些情形，你就不需要框架：
    你需要一个单独的漂亮的URL系统；
    你只需要框架的某一特定部分，如ORM；
    你的时间很紧，而且你必须从头开始学习框架；
    有人告诉你框架能治疗癌症；

2. 许可证

    在你开始使用框架进行开发之前，你得看一下这个框架是基于什么许可证发布的。尽管大部分许可证对于商业应用开发来说是自由的，但仍有一部分不那么自由。你最不希望看到的情况就是，你做完了整个应用程序后才发现，框架的许可证不允许你以商业形式发布代码。事先做好研究功课总好过事后的痛苦。
    切记这不仅仅限制框架本身。你用于额外功能的插件或者扩展项都可能有一个隐藏的使用条款，所以你还得检查一下它的许可证才行。

3. 软件模式

    几乎所有的框架都无一例外地使用了MVC模式。MVC代表的是Model(模型)-View(视图)-Controller(控制器)，帮助你保存数据：模型，业务逻辑——控制器以及用户界面——视图，都是各自分开的。这些允许你编写更好更完善的代码，最终完成更好的应用程序。大家都用MVC并不代表你只需要知道这么多。还有其他不同的变种，包括MVP:Model(模型)-View(视图)-Presenter(呈现器), MVA: Model(模型)-View(视图)-Adapter(适配器) 以及 AVC: Application(应用程序)-View(视图)-Controller(控制器)。

4. 主机需求

    作为Web开发者，我们可能更倾向于使用最尖端最顶级的平台，但是我们往往先要考虑到客户的需求以及预算的限制。使用独享主机来发布我们的应用程序往往会导致超出预算，因此我们不得不使用那些拥有正常模块和配置的共享主机。
能很好兼容共享主机的框架包括：
CodeIgniter
CakePHP
Kohana
Zend Framework
大多数其它 PHP框架

安装起来相对复杂的框架包括：

Ruby on Rails
Django
Pylons
大多数非PHP框架

    事实上，你还是能够在共享主机上运行类似于Django的框架，前提是服务器上已经安装了必需的模块。你也可以在CGI模式下运行它，但速度会比原生模式慢很多。

5. 安装容易程度

    选择框架时，安装容易程度也是很重要的因素。一个框架，无论是重量级还是轻量级，如果使用者需要经过一系列繁琐步骤才能安装并且运行它，这就是问题了。
    当应用程序已准备就绪并且测试完成，需要发布到生产服务器上的时候，这也会导致一个大问题。在这种情况下，一个安装和部署都很简单的框架就很有意义。
    对大多数框架而言，安装过程和设置配置文件中的正确参数一样简单，然而对其它框架来说就是一件费时费力的事情。选择一个能让你尽快上手运行的框架。

6. 学习曲线

    每个框架都有它自己的小宇宙：命名规范、目录结构以及诸如此类的东西。某些框架在这方面非常灵活，而其它的就非常严格，例如在出现极小的错误时要抛出错误都非常繁琐。
    某些框架在实现一个功能的时候会遵循一个规范，而其它的就各行其是。
    在选择框架的时候，记住要选择学习曲线最平缓的那个。如果你不知道这框架是用什么语言编写的，那就必须把学习这语言本身的学习曲线也考虑在内。我曾见过不少从CakePHP转向Django的开发者，他们不得不同时学习Python和Django，因此他们纷纷表示压力很大。
    如果你需要同时学习框架和它所使用的语言，你就得悠着点了。

7. 代码库

让我们面对这样一个现实，那就是，人们接受一个框架是因为它的核心库。库必须能让你从编写重复代码的过程中解脱出来，同时也能允许你自行增加更多的功能和特性。
大多数框架提供了以下大部分功能的类库：
AJAX
身份验证
授权
缓存
数据清理
数据验证
模板
URL 映射和重写

    当然，并不是人人都需要一个包罗万象的框架。很多人更希望框架能处理小部分功能而让开发者来处理剩下的那部分。在这些情况下，你需要确保你所考虑的框架是否只拥有你所需要的特性。
    目前框架中流行的趋势是以类库的形式创建框架。换句话说，它允许你根据需要来对库进行替换。在这方面的绝佳典范就是Pylons。它甚至允许你替换它的大多数部分，从ORM到模板语言都行。相对于那些紧耦合的框架，人们喜欢这种松耦合的框架。

8. 数据库抽象以及ORM

    几乎所有应用程序都要存取数据库。如论如何，你都要在开发整个应用程序的过程中这么做，大多数框架都提供了数据库存取类给你使用。因此，当你在选择应用程序的时候，选择能使你的应用程序变得与数据库无关的那一个。万一你要切换数据库，而如果你的框架为你做了这些工作的话，你永远都不用在数据库那部分操心。
    你所要考虑的第二部分就是框架的ORM功能。不需太多技巧，ORM或者Object Relational Mapping(对象关系映射)允许你将数据以对象的形式表现出来，并且将它与其它对象关联起来。如果你想的话，想象一下一个能够获取信息的对象数据库。
包含了ORM特性的框架包括：CakePHP、Django以及Ruby。使用类似Pylons的框架的时候你甚至可以用你自己选择的ORM。

9. 内置的JS库

    争论的另一点就是捆绑的JavaScript库。大多数允许你轻松地切换，然而框架内置的AJAX方法大多数情况下仍然只针对某一特定的JS库。这种潜规则意味着你将不得不手动去开发那一功能。
    另一方面，提供了通用方法的那些框架对你来说的好处是，你可以轻而易举地切换你要使用的JavaScript库。
仅供参考：CakePHP和Ruby on Rails能够以标准形式在Prototype和Scriptaculous之间切换。

10. 单元测试

    我就是那种极其依赖于单元测试的开发者。维基百科上对单元测试的定义是这样的：
单元测试是一种软件检验测试方法，程序员可以通过它来测试源代码中的单个部分是否符合要求。一个单元就是应用程序中最小的可测试的部分。
    在这种情况下，能让我编写单元测试的框架对我很有益处。很多框架，如CodeIgniter、CakePHP还有Zend都允许你创建自定义的测试，作为对核心测试的补充，目的是对应用程序的重要部分进行检查。

11. 可伸缩性

    一般的Web开发者不必考虑框架的可伸缩性问题。通常情况下I/O和网络延迟比框架的可伸缩性更为重要。甚至Twitter那神话般的可伸缩性问题都不是所考虑的框架本身的过错。如果有人要求你放弃一个框架并指出它的伸缩问题，你可以笑而不语。伸缩问题的原因很少由框架产生。当然你也可以对代码稍作优化，但是通常情况下伸缩问题的主要原因在别的方面。

12. 文档

    框架的文档往往是它能否成功的关键。解释详尽的文档能够吸引更多用户和爱好者。质量差的、令人费解的文档会使人们感到迷惑并且惹恼他们，使他们放弃该框架。
    寻找一个文档中包含有丰富的范例、实例代码、文章以及教程的框架。

13. 社区

    尽管有合适的文档，但你不可避免地还是会遇到需要解决的问题，因此你需要去框架的支持社区寻求帮助。我个人已经在很多个社区进行过交流，其中一个社区的成员尖酸刻薄地对新手进行嘲笑，然而另一个社区的成员们却十分热心地为新手提供力所能及的帮助。因此对于最终选择的是哪个框架开始工作的这一问题，我就不做解释了。
    如果一直如此，支持社区将会成就或者毁掉一个框架。社区成员表现得这样急功近利的话，你将会对框架心生怨恨，而不是那些人。社区成员表现得彬彬有礼的话，你就会更倾向于选择那个框架。如果框架拥有友好的社区，能够为新开发者提供帮助的话，那就选择它。

14. Bug 修复/更新

    Web开发者们不愿意自己编写框架的原因之一是他们将要独自完成bug的修复以及更新工作。而对于一个大的框架，每天都有成千上万的开发者对代码进行审视。一旦发现有bug，就能立即得到修复。
    选择一个不那么死气沉沉的框架。你不希望有黑客来告诉你框架有个安全漏洞可以被用来入侵你的网站吧。相对而言，你更希望由框架的开发者们给你提供一个补丁来修正问题。 选择一个更新频繁的框架，更重要的是该框架是开放性的，大家都能发现bugs和尽快修复它们。

15. 创建扩展的容易程度以及可用性

    尽管框架覆盖了一个应用程序的重要基础部分，但是你还需要编写一些代码。尽量使它变得通用，这样你就可以在你的其它应用程序中对它进行重用，甚至是公开发布给人们使用。
    选择一个能够让你轻松进行扩展的框架。以CakePHP为例，扩展一个控制器需要顾及到各个组件以及由辅助函数和视图。无论是那种情况，创建一个扩展就像定义一个继承于父类的子类一样简单。
    选择框架的时候，记住要考虑到插件的可用性。通常情况下你没有时间从头开始创建一个自定义扩展。拥有一个巨大的扩展库可供选择，这就在很大程度上解决了这一问题。扩展的质量比数量更重要。

结论

    现在我们已经讨论了你在选择框架之前所应该考虑的各个方面，包含从框架是否满足需要到bug修复和更新在内的所有内容。但愿这对你有所帮助，也希望你能觉得有趣。

以PHP为例，通过输出$_SERVER变量，你就可以看到HTTP_REFERER信息：

图1

如今很多知名的网络相册(如网易相册、百度相册、51相册等等)都限制了外链，我不知道它们用什么方式实现，但是目前而言大多数防盗链的机制都是基于对Referer的判断来实现的。
比如说，我有一个网站，其中一个页面地址是 http://example.com/test.html，里面需要外链一张猫扑的图片，因此，image.html里面可以这么写：

1

<img src="http://upload3.mop.com/upload3/2009/12/18/08/1261139622733.jpg"/>

但是我们会发现这样外链的图片是无法显示出来的。原因在于，当我们访问http://example.com/test.html时，浏览器会向upload3.mop.com也就是猫扑的服务器发送一个请求，这一请求中包含的Referer信息应该就是这样：

http://example.com/test.html

这样，猫扑的服务器就可以判断出这是一个来自外部网站的请求，从而予以拒绝，这样我们就无法显示这张图片了。

那么，应该如何解决这一问题呢? 用火狐浏览器的可能知道，火狐有个插件叫做RefControl，可以用它来伪造Referer，从而正常显示图片。但是如果你是站长，你总不能要求你的访客都使用火狐浏览器对吧？即便你所有的访客都使用火狐浏览器，你也很难保证他们都安装了RefControl这个插件。
这样，我们只能从程序方面入手解决问题：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

<?php
ob_start();
$img=$_GET['url'];
 
$host=$path=str_replace('http://','',$img);
$host=explode('/',$host);
$host=$host[0];
$path=strstr($path,'/');
$fp = fsockopen($host, 80, $errno, $errstr, 30);
if ($fp)
{
	@fputs($fp, "GET $path HTTP/1.1\r\n");
	@fputs($fp, "Host: $host\r\n");
	@fputs($fp, "Accept: */*\r\n");
	@fputs($fp, "Referer: http://$host/\r\n");
	@fputs($fp, "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n");
	@fputs($fp, "Connection: Close\r\n\r\n");
}
 
$Content = '';
while ($str = fread($fp, 4096))
	$Content .= $str;
@fclose($fp);
$pos=strpos($Content,"\r\n\r\n");
$head=substr($Content,0,$pos);
$text=substr($Content,$pos+4);
header($head);
echo $text;
?>

实际上这就是通过伪造Referer来实现我们想要的效果。
我们把这段程序保存为redirect.php，放到服务器上，例如http://example.com/redirect.php，那么，接下来我们只需要将原来的外链图片地址经由这段程序处理，就可以正常显示。

1

<img src="http://example.com/redirect.php?url=http://upload3.mop.com/upload3/2009/12/18/08/1261139622733.jpg"/>

效果如下：

图2

由此可见，Referer信息不一定可靠，因为它是可以伪造出来的，通过这一手段来防盗链并不是一个完美的办法。
同时，我们也应该尽可能少的外链文件，毕竟大多数服务器都有带宽的限制和成本的考虑，限制外链对它们的生存也是很重要的。

1. “空密码登录被禁止”  问题
很多时候我们在本机测试时会将root用户密码设置为空。但升级到phpMyAdmin 3.2.2版的时候，会遇到无法以空密码登录root用户的情况。怎么解决呢? 请参照如下步骤：
(1) 找到你的phpMyAdmin程序所在的目录，这个根据你个人的情况有所不同。
(2) 打开 phpMyAdmin\libraries\ 路径下的 config.default.php 这个文件，找到下面这行

$cfg['Servers'][$i]['AllowNoPassword'] = false;

将其修改为

$cfg['Servers'][$i]['AllowNoPassword'] = true;

(3) 重新访问你的phpMyAdmin，你会发现空密码的root用户也可以登录了。

2. “配置文件现在需要一个短语密码” 问题
在登录进去之后可能会看到“配置文件现在需要一个短语密码”这条警告信息。这是因为你没有设置一个用来给Cookie加密的密钥。解决方法还是首先打开上文所说的 config.default.php 文件，并找到下面这行

$cfg['blowfish_secret'] = '';

将其修改为

$cfg['blowfish_secret'] = '你的密钥';

说明: 这里的“你的密钥”是你所设置的密钥字符串，可以随意设置。
修改保存之后，重新登录phpMyAdmin就可以了。

3. “无法载入mcrypt扩展” 问题
这个问题与phpMyAdmin没有多少关系，是因为你的 PHP 运行环境没有开启mcrypt扩展。以Windows下为例，首先你要确保PHP目录的ext子目录下有 php_mcrypt.dll 这个文件，没有的话去网上下载一个。然后打开你的 php.ini 文件，找到下面这行

;extension=php_mcrypt.dll

去掉这行行首的分号，保存，然后重启Apache就可以开启mcrypt支持了。这个时候重新登陆phpMyAdmin，此问题就已经解决。

1
2
3
4
5
6
7
8
9

 
<div id="footer_area"><div id="footer_area_content">
                        < ?php include (TEMPLATEPATH . '/footer_content.php'); ?> 
                </div>
        </div>
        <div id="footer_bottom">
                <div id="footer_bottom_content"> Copyright &copy; < ?php echo gmdate(__('Y')); ?> <a href="<?php echo get_settings('home'); ?>">< ?php bloginfo('name'); ?></a>. <a href="http://www.technologytricks.com/techified-just-another-premium-wordpress-themes/">Techified</a> theme by <a href="http://www.ifreecellphones.com/">Cell Phones</a>. Supported by <a href="http://www.ifreecellphones.com/cheap-verizon-wireless-phones.asp">Verizon Wireless</a>, <a href="http://www.ifreecellphones.com/cheap-t-mobile-phones.asp">T-Mobile</a> &amp; <a href="http://www.ifreecellphones.com/cheap-sprint-pcs-phones.asp">Sprint</a>
</div>
        </div>

说明：请尊重设计者的劳动成果，在这一文件的基础上添加自己的信息就可以了，不要修改或删除作者原有的链接。

补充说明：网友 最后块烧饼 提醒说，上面这段代码可能会引发错位问题，虽然我测试时没有遇到，但还是感谢他/她给予的指正。你可以在 这里 看到他/她制作的完美版。