在瀏覽器中開啟http://你的WordPress安裝地址/wp-admin/images/看看有什麼效果?

在瀏覽器中開啟http://你的WordPress安裝地址/wp-admin/，隨意輸入使用者名稱和密碼，看看你的部落格允許你輸錯多少次？

在images/目錄下放置一個index.html或index.php

index.html放置跳轉到404的程式碼

一、設定一個安全的密碼

雖然這已經是老生常談了，但是還是建議給你的WordPress設定一個安全的密碼，最好給WordPress設定一個單獨的密碼，即這個密碼在別的地方還沒有用過。

二、隱藏你的目錄

假設你的部落格地址是www.your.com ，預設情況下，如果訪問這個網址www.your.com/wp-content/plugins，將會以列表的形式把plugins目錄下的檔案列出來，這樣別人就輕而易舉的知道你安裝了哪些外掛，黑客可能會利用這些外掛的漏洞來攻擊你的網站，那可不好！安全做法是在這個目錄下放入一個空白的index.html。同樣也可以在其他你不想讓別人看到的目錄中放置index.html，例如wp-content

三、使用Login Lockdown外掛

如果別人不知道你的密碼，他又想非法登入你的部落格後臺，那他一般會選擇暴力破解你的密碼，即一個一個地試，直到破譯你的密碼為止。使用Login Lockdown外掛在一定程度上阻止別人測試你的密碼，如果探測到一個 IP 段在一時間段內登入失敗的次數超過了某一數目，就會自動鎖定其登入功能，並禁止此 IP 段的使用者登入系統。這個登入失敗的次數和限制登入的時間間隔等，都可以在你的後臺設定。

四、及時備份你的部落格

使用WordPress Database Backup外掛可以很方便的備份你的部落格資料庫，可以選擇兩種方式備份：一、備份到你的網站空間的某個目錄下；二、把備份檔案傳送到你的郵箱。我是把備份檔案傳送到我的郵箱，這樣可以防止網站伺服器掛了，備份也沒了.

五、去除header.php中的版本資訊

普通模板會在header.php中加入如下資訊來顯示使用中的WP版本，這樣不良企圖的人會根據版本來進行攻擊。把下面的程式碼刪除：

六、保護 wp-config.php 檔案

將wp-config.php的許可權設定為只讀，這樣一般別人就看不到了。另外你可以在.htaccess 檔案中加入以下語句來防止其它人瀏覽到 wp-config.php 檔案：

七、更改登入使用者名稱，隱藏你的登入名

安裝好WordPress後，就應該立刻使用自己的使用者名稱和密碼建立另一個有管理員許可權的使用者，並將 "admin" 使用者刪除。WordPress中有一個很好的方法，就是可以隱藏你的登入名。在"使用者"設定中，你可以把你的"對外顯示為"更改為你的暱稱，這樣在你釋出文章的時候，給訪客回覆的時候，顯示的就是你的暱稱，而不是你的後臺登入名。