这是一篇原创译文，转载请注明出处，原文请单击这里查看。

本文将讨论一些有关于增强Wordpress博客安全性的安全技术，这些技术在那些托管的环境下尤为有效。 

首先我要说明的是本向导并不适合所有人，并且有可能影响一些第三方插件或者模板。 

情况还没有想象中的糟糕，如果你能够应用本向导中的知识，你就可以显著地增强你的博客的安全性。包括暴力攻击、插件枚举、目录列表、敏感信息泄露以及文件包含漏洞等类型的攻击都能被阻止。 

重要说明：请确保在操作之前备份好了您的Wordpress文件和数据库。 

步骤1 – 限制wp-content 和wp-includes

使用 .htaccess 中的 <file> 指令，我们可以限制访问除图像、样式表以及JavaScript之外的文件。这里的 .htaccess 文件看起来如下：

Order Allow,Deny
Deny from all
<Files ~ “\.(css|jpe?g|png|gif|js)$”>
 Allow from all
</Files>

如果你想要允许特定的插件如Democracy被访问，我们可以将下面的指令追加到 wp-content/.htaccess 文件末尾：

<Files “democracy.php”>
 Allow from all
</Files>

将以上内容保存到您的 wp-content 和 wp-includes 目录下的 .htaccess 文件中。补充说明一下，您还可以允许指定的某文件被访问，这样能使您的插件和/或模板正常工作，如果需要的话。这是一个更简洁的办法。

步骤2 – 限制访问 wp-admin

要限制访问 wp-admin，您有两种选择。选择以下方法中的一种，把包含相应指令的 .htaccess 文件放到您的 wp-admin 目录下。

您可以限制 IP:

order deny,allow
allow from a.b.c.d # 这里的a.b.c.d就是您的静态 IP
deny from all

以上代码将阻止那些IP地址不是 a.b.c.d 的访客通过浏览器访问此目录中的任何文件。这里的“a.b.c.d”应当与您的静态IP地址一致。

或者您还可以通过密码来限制：

AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName “restricted”
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any

这里有一个bug。以上的规则代码会引发一个问题，如果那些在您的博客上发表评论的人没有输入邮箱地址，那么就会弹出一个输入密码的输入框。这是因为某些样式表和图片文件也位于wp-admin 目录之中。为了解决这一问题，我们可以将以上的代码包含于文件指令中，这个文件指令只会阻止 .php 文件被访问，不会阻止其它文件。这仍然能够阻止许多直接的攻击，并且同时还提供了许多额外的特性。下面是一个改进版：

<Files ~ “\.(php)$”>
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName “restricted”
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

就是这样，有了这些措施，您的博客将更加安全。

使用Wordpress国外主题的时候常常要改动其中的时间参数，因为老外他们使用的时间格式和我们大不一样，比如说同样是一个日期：2010年1月2日，美国英语里面可能写成 Jan 2nd 2010，英国英语里则是 2nd Jan 2010，而我们汉语里是 2010年1月2日。好在Wordpress提供了很多时间参数，用户可以输出自定义的日期，这一点和PHP里面的date函数有点类似。

下面是一些常用的参数：

* a代表小写的英语的上下午，如am、pm
* A代表大写的英语的上下午，如AM、PM
* d代表英语的日期（小于10仍为两位数写法），如05、12
* D代表中文的星期，如五、七
* F代表中文的月份（包括“月”这个字），如五月、十二月
* g代表英语的小时（小于10为一位数写法），如5、12
* G代表英语的小时（小于10仍为两位数写法），如05、12
* h代表英语的分钟（小于10为一位数写法），如5、12
* H代表英语的分钟（小于10仍为两位数写法），如05、12
* j代表英语的日期（小于10为一位数写法），如08-02-09
* l代表中文的星期（包括“星期”这两个字），如星期五、星期七
* m代表英语的月份（小于10仍为两位数写法），如05、12
* M代表英语的月份（以单词的形式显示），如Jun
* n代表英语的月份（小于10为一位数写法），如5、12
* O代表英语的时区，如+0800
* r代表完整的日期时间，如Tue, 06 Jun 2006 18:37:11 +0800
* S代表日期的序数后缀，如st、th
* T代表英语的时区（以单词的形式显示），如CST
* w代表英语的星期，如5、7
* W代表周数，如23
* y代表两位数年份，如07、08
* Y代表四位数年份，如2007、2008
* z代表天数，如156

众所周知Wordpress是一个开放的平台，各种免费和收费的主题层出不穷。其中有一款名叫”Techified”的主题我非常喜欢，现在我用的就是它。然而这款主题的作者为了保留版权信息，居然将footer部分加密，我无法猜测他用的是什么算法(因为我用Base64解密程序是无法将它解密的)，总之直接解密可能会很麻烦，但是就像很多站长那样，我们都希望在footer部分加入一些信息，比如备案信息或者统计代码之类。幸好在一个论坛上(抱歉，我都忘了是哪个论坛了)发现一位高手写了一份解密版的代码，我试着用在了现在的主题上，确实可用，因此在这里共享一下：

1
2
3
4
5
6
7
8
9

 
<div id="footer_area"><div id="footer_area_content">
                        < ?php include (TEMPLATEPATH . '/footer_content.php'); ?> 
                </div>
        </div>
        <div id="footer_bottom">
                <div id="footer_bottom_content"> Copyright &copy; < ?php echo gmdate(__('Y')); ?> <a href="<?php echo get_settings('home'); ?>">< ?php bloginfo('name'); ?></a>. <a href="http://www.technologytricks.com/techified-just-another-premium-wordpress-themes/">Techified</a> theme by <a href="http://www.ifreecellphones.com/">Cell Phones</a>. Supported by <a href="http://www.ifreecellphones.com/cheap-verizon-wireless-phones.asp">Verizon Wireless</a>, <a href="http://www.ifreecellphones.com/cheap-t-mobile-phones.asp">T-Mobile</a> &amp; <a href="http://www.ifreecellphones.com/cheap-sprint-pcs-phones.asp">Sprint</a>
</div>
        </div>

说明：请尊重设计者的劳动成果，在这一文件的基础上添加自己的信息就可以了，不要修改或删除作者原有的链接。

补充说明：网友 最后块烧饼 提醒说，上面这段代码可能会引发错位问题，虽然我测试时没有遇到，但还是感谢他/她给予的指正。你可以在 这里 看到他/她制作的完美版。