如何提升wordpress网站安全*

1、首先检查是否存在安全隐患，通过各大主流平台提供的检测工具，不定时的检测自己的网站是否存在漏洞，是否有安全隐患。

2、如果你不是高手，则尽可能的少用垃圾插件，那些评价3星以下的插件，意味着可能存在漏洞或者后门，慎重安装，原则上尽可能的使用代码来代替插件

3、保持wordpress为**版本，注意，这不仅是指wordpress本身，同时还包括很多插件，以及你使用的主题，这样至少能保证**已知的漏洞已经被修补。

4、使用复杂的用户名和密码，很多站长日IP已经有好几百了，用的帐号还是admin，甚至连密码也是admin，我们都知道你对admin情有独钟，但是这会让你辛苦建起来的网站瞬间被毁

5、善于利用.htaccess文件来保护wordpress，.htaccess文件是位于根目录下的配置文件，它可以帮我们实现很多功能，其中就有允许/阻止特定的用户或者目录的访问、禁止目录列表等功能，常见的安全配置有下面两种：

a、在.htaccess中，增加如下配置Allow from xx.xx.xx.xx/xx，比如你只想让公网ip 123.123.123.0/24这个段的所有IP访问，可以Allow from 123.123.123.0/24，如果你只想让 123.123.123.123这一个IP访问，则为：Allow from 123.123.123.123/32

b、关闭目录列表共享查看功能，这个很重要，很多人容易忽视，这个意思是你输入你的网址+目录，例如:这个连接，则会列出当前目录下所有的插件文件夹，网站目录结构暴露，这当然很危险了，所以需要在.htaccess中添加Options-Indexes即可搞定

6、限制登陆次数，通过个插件可以实现登陆次数限制，比如Login LockDown、Limit Login Attempts等，通过启用配置插件后登陆错误超过一定次数，则IP会加入黑名单禁止登陆，这样就可以避免****

7、如果站点使用的是自带操作系统的服务器、虚拟服务器等，则需要进一步对操作系统进行安全加固，详细的加固方法参考**加固文档

8、安装安全防护插件来保护你的wordpress，常见的插件有Acunetix WP Security、Wordpress Security Scan等来进一步加固你的wordpress

以上几种方法可以让你进一步加固自己的wordpress，做好安全加固的同时，也要养成定时备份站点的习惯，现在很多插件可以实现自动备份，有些插件支持直接备份到云空间，比如百度云空间。

在做seo优化时使用WordPress作为非常**的内容*客程序，搜索引擎（特别是Google）对WordPress非常友好，在做百度时使用WordPress，还是需要做一些搜索引擎优化，保证搜索引擎对内容的收录。由于WordPress系统本身，默认安装的情况下使用默认模板，实际上对搜索引擎并不友好，并没有针对搜索引擎进行很好的设计。加上搜索引擎总是喜欢简洁、清*、用户体验好的网站，因此优化核心都是围绕着这些展开.

URL规范化一个来自网站的链接形式，影响着URL的可读*和对搜索引擎的友好程度。

Meta信息随着搜索引擎对网站description和Keywords属*权重的下降，以目前上线时间看来判断似乎过早，但有一点可以肯定的是显示结果中由搜索引擎抓取内容摘要与网站的关联*过底。

Title问题在以往很多的文章在提及Wordpress Title优化时，均存在这样的观点：“除非标题和文章内容相关度比较高，如果标题中包含了与文章内容无关的信息,多少会对该页面有所影响”。事实上随着搜索引擎的技术革新，在标题处一定程度上的与站点相关联的词语，甚至可以为站点带来一定的排名效益，至少在显示相关的搜索结果时，文章标题的可读*已经大大提高。

Headre.php修改代码：<title><?php if(is_home()){ bloginfo(‘name’);} elseif( is_category()){ single_cat_title();

echo”–“; bloginfo(‘name’);} elseif(is_single()|| is_page()){ single_post_title(); echo”–“; bloginfo(‘name’);}

elseif(is_search()){ bloginfo(‘name’); echo“search results:”; echo

wp_specialchars($s);} else{ wp_title(”,true);}?></title>

</code>代码修改后的标题样例：“文章标题-网站标题”。

Tag汉化由于Wordpress在输入中文标签后，目录别名会自动转为：“%%$##”，这样类似乱码状的URL链接，这样对于搜索引擎的友好度十分不利，这时我们可以登陆WP程序后台，修改位置为：“文章-文章标签-别名”，更改文章标签的别名。

WordPress默认是把图片、文件、视频等一切上传的媒体统一放置到wp-content目录下的uploads文件下。

移除不必要的信息，如WordPress版本移除不必要的信息可以更好的保证wordpress的安全。可以找到模板文件夹里面的 functions.php文件，将下列代码加进去。

禁止浏览wordpress文件夹目录

将下列代码加入根目录下的.htaccess文件夹。同时，确保在wp-content/themes和 wp-content/plugins各有一个空白的 index.php文件。

取消WordPress评论框下的”HTML标签和属*。

WordPress评论框里面可以添加一些html标签，但这经常会导致大量的垃圾链接，并且可能会引发安全隐患。建议将下列代码加入到模板的 functions.php文件来取消该功能。

关闭WordPress的版本修订功能

WordPress会自动保存文章的各个修订版本，如果文章量大，且文章经常修改的话，会导致数据库变得臃肿，建议取消。可将下列代码放置到WordPress根目录下的 wp-config.php文件，来取消版本修订功能。

修改wordpress自动保存的时间

wordpress的自动保存功能默认每分钟保存一次，保存的瞬间，浏览器基本会处于假死的状态。你可以通过下面的代码来修改wordpress自动保存的时间间隔。

WordPress默认有多个RSS地址，如文章rss，评论rss，整站rss，评论rss，甚至分类rss，存档rss等。使用rss阅读器订阅的时候，读者很容易被这

么多的rss搞糊涂。建议只发布整站的rss，可以用将下面的代码放到模板的 functions.php文件实现。

在上一点，我们仅仅是从模板移除部分rss地址，但实际上这些rss是仍然存在的。可以通过将下面的代码加入.htaccess文件，来将各个RSS地址转向主RSS地址。记得将里面的RSS链接换成你自己的。

采用多步验证登陆Google已经采用两步验证登陆的措施了，但wordpress默认没有这个功能。具体可在今后WP酷所发布的文章中查看。

更改固定链接结构默认的wordpress固定链接是不利于SEO的，建议看看wordpress**链接设置的六大技巧。

添加 favicon标识一个favicon标识能够很好的提升*客的档次，可以使用Favicon在线***来生成favicon标识。将生成的 favicon.ico放在wordpress根目录后，找到模板的header.php文件，在＜head＞与＜/head＞之间插入下面的代码即可。

禁止搜索引擎索引wordpress程序自身搜索引擎索引站点是好的，但没必要索引wordpress程序本身，可以将下面的代码加入到wordpress根目录下的 robots.txt文件里面。

将 Admin账户权限降低 Admin是默认的wordpress管理员账户，为了降低安全隐患，你可以新建一个管理员账户，然后将默认的admin管理员账户权限降低。

删除所有不用的模板和插件删除所有不用的模板和插件，一来可以节省空间，二来可以减少对服务器的压力，三来，也可以减少一些引发漏洞的可能。

让访问者缓存wordpress页面内容让访问者缓存wordpress页面内容，这样读者就能更快速的载入你的站点。可以通过将以下的代码加入到.htaccess文件，或使用wordpress缓存插件WP Super Cache、Hyper Cache这类插件来解决这个问题。

禁用wordpress后台文件编辑功能 wordpress默认是管理员登陆后，可以直接在后台修改wordpress模板和插件等文件。对于很多不*悉wordpress的人来说，很可能一个修改错误，整个网站都崩溃了。可以将下面的代码加入到wp-config.php文件来实现。

确保网站的安全的方法如下：

一、安装SSL**

SSL**通过网站传输加密数据，它可以对网站的数据进行加密传播，不易被**所**。因此，给网站安装SSL**不仅可以保证数据的安全*，而且提升了网站的信任等级。目前，非常多大型网站，例如百度、纽约时报网站等都已陆续的安装SSL**了。

二、使用网站验证码

验证码是可区分电脑与人类的完全自动化公用涂林测试的缩写。验证码可以阻止机器人试图自动提交表格或获取电子邮件地址。如果您想保护网站免受虚假注册，验证码就是一个阻止垃圾邮件的好方法，能做到防止**注册目的。

三、定期安全扫描

定期的进行网站安全扫描也是非常重要的，这样可以及时发现**文件并清洗，从而减少不必要的损失。

四、更新应用程序和插件

由于程序经常会有漏洞，所以很多程序在一段时间内都有版本更新。这样每次更新升级会弥补安全漏洞，所以确保每次推出新版本时，大家要及时的更站程序版本。另外，现在很多朋友都使用WordPress、Joomla等程序建站，当然，或多或少可能都安装一些插件。其实，这些插件也是需要升级的。一般我们进入程序后台是都会有更新提醒的，所以，大家也要及时对程序的插件进行更新。

五、设置复杂密码

在设置网站密码时，尽量设置复杂些，现在密码一般有10个以上字符，且由数字和符号以及大小写字母组合而成，网站密码不要和电子邮箱或社交媒体账户相同。例如，很多人使用WordGOOGLE PRess程序建站，非常喜欢用默认的用户名 admin。其实，使用这些常见的、简单的用户名和密码，是很容易被**的，大家切忌使用。