WordPress起初是一款個人部落格系統，並逐步演化成一款內容管理系統軟體，它是使用PHP語言和MySQL資料庫開發的，使用者可以在支援PHP和MySQL資料庫的伺服器上使用自己的Blog。

　　用wordpress搭建好部落格以後需要做一些防護工作：

　　1.選擇安全可靠的主機

　　謹慎選擇一款安全可靠的主機，不要使用免費主機和劣質主機。免費主機只適合用來學習程式和建站方法，但是倡萌一直不建議使用免費主機來託管正式上線的網站。當然了，最好也不要使用那些特別廉價，管理經驗不足的主機商的服務。

　　2.升級到WordPress最新版

　　只從WordPress官方下載原始碼，不要到第三方網站下載。儘可能升級到WordPress最新版，及時修補程式漏洞，包括WordPress核心原始碼、WordPress主題以及WordPress外掛。

　　3.使用官方WordPress主題和外掛

　　這裡所說的官方，一是WordPress官方，二是主題或外掛開發者的官方，儘量避免使用“破解”版主題、外掛，慎用網上傳播的原本是收費，但是被人惡意提供免費下載的主題、外掛。

　　4.修改資料庫預設字首wp_

　　很多朋友安裝WordPress都沒有修改資料庫字首，如果你打算修改預設的字首wp_，請根據如何修改WordPress資料庫字首來修改。

　　5.修改預設的使用者名稱admin

　　WordPress3.*以上已經支援安裝時自定義登入使用者名稱，如果你使用預設的admin，建議你根據下面的方法進行修改：

　　方法一：後臺新建一個使用者，角色為管理員，然後使用新使用者登入，刪除預設的admin使用者。

　　方法二：登入phpmyAdmin，瀏覽當前資料庫的wp_users資料表，將user_login和user_nicename修改為新使用者名稱。同時建議修改“我的個人資料”中的的暱稱，然後設定“公開顯示為”非使用者名稱的其他方式：

　　6.使用高階密碼，經常更換密碼

　　建議使用含大寫字母、小寫字母、數字和其他符號的複雜密碼，比如nuH4j&*aHG%dMz，避免使用生日、手機號、QQ號等。

　　7.隱藏WordPress版本資訊

　　預設情況下會在頭部輸出WordPress版本資訊，你可以在主題的functions.php最後一個?>前面新增：

　　//隱藏版本號

　　functionwpbeginner_remove_version(){

　　return'';

　　}

　　add_filter('the_generator','wpbeginner_remove_version');

　　8.修改wp-admin目錄的訪問許可權

　　你可以通過限定IP地址訪問WordPress管理員資料夾來進行保護，所有其他IP地址訪問都返回禁止訪問的資訊。另外，你需要放一個新的.htaccess檔案到wp-admin目錄下，防止根目錄下的.htaccess檔案被替換。

　　9.定期備份網站資料

　　可以藉助WordPress備份外掛進行自動備份或手動備份：WordPress資料庫定時備份外掛：WordPressDatabaseBacku

　　使用WordPress自帶匯出匯入功能備份和恢復網站

　　WordPress克隆/備份/搬家外掛：WPClone

　　WordPress超強備份外掛：BackWPup（支援FTP/Email/本地/網盤）

　　10.安裝安全外掛

　　WordPressFirewall2該外掛可以幫助你識別/阻止一些有效的攻擊，例如目錄掃描、SQL注入、WP檔案掃描、PHPEXE掃描等，並可將其定向到404或者首頁。如果有問題還可以通過電子郵件通知你處理，還可以阻止一些IP的訪問。

　　BetterWPSecurity由於大多數的WP網站存在外掛漏洞、弱口令、過時的外掛/程式，隱藏這些漏洞可以更好的保護網站，例如保護登入和管理區(控制面板？儀表盤？)。LoginLockdown這個外掛可以記錄失敗的登入嘗試的IP地址和時間，若是來自某一個IP地址的這種失敗登入超過一定條件，那麼系統將禁止這一IP地址繼續嘗試登入。

　　LimitLoginAttemptsLimitLoginAttempts限制登入嘗試的次數來防止暴力破解，增強WordPress的安全係數。

　　WPSecurityScan該外掛會自動按照以上的安全建議對WordPress進行安全掃描，查詢存在的問題。

　　11.修改WordPress後臺登入地址

　　將下面的程式碼新增到當前主題的functions.php檔案：

　　//保護後臺登入

　　add_action('login_enqueue_scripts','login_protection');

　　functionlogin_protection(){

　　if($_GET['word']!='press')header('Location:https://55wd.com/');

　　這樣一來，後臺登入的唯一地址就是http://網站地址/wp-login.php?word=press，如果不是這個地址，就會自動跳轉到https://55wd.com/，不信你試試！你可以修改第4行的Word、press和https://55wd.com/這三個引數。

　　12.避免WordPress洩露你的使用者名稱

　　你有沒有想過，如果你的網站的登陸名被別人知道了，偏偏他是一個比較精通WordPress的人，而且會寫指令碼暴力破解，那麼後果就不堪設想。實際上，Wordpress這麼一個漏洞，至今依然存在，並且常常會被黑客利用

　　想要知道WordPress的管理員使用者名稱？很簡單，只要在網站的域名後面加/?author=1就行了。

　　如果/?author=1顯示404介面，那很可能是以前有過admin使用者，後來站長髮現用預設帳戶admin太不安全了，就新建了一個管理員帳戶，並刪除了admin帳戶。這種情況下，用/?author=2就能顯示出使用者名稱了。如果使用admin帳戶，確實不安全，但是如果你的部落格使用一個複雜的使用者名稱，卻經不起這麼簡單的一個URL的考驗，這和使用admin帳戶沒有根本上的區別。既然存在漏洞，那麼就要去填補它。要填補這個漏洞，倒還真的不是什麼難事。我的思路就是，只要訪問主頁url後頭有author引數就讓他跳到主頁

　　將下面的程式碼新增到當前主題的functions.php檔案：

　　add_filter('author_link','my_author_link');

　　functionmy_author_link(){

　　returnhome_url('/');

　　}

　　呵呵，大家有沒有發現這個思路上面修改WordPress後臺登入地址是一樣的原理？

　　至此，有了以上的防護工作，你辛辛苦苦搭建的wp部落格就不會沒那麼容易的被黑闊光顧。