首先說說數(shù)據(jù)庫(kù)的安全設(shè)置。我建議你最好單獨(dú)給Wordpress建一個(gè)數(shù)據(jù)庫(kù)，最好不要跟其它網(wǎng)站或應(yīng)用共享一個(gè)數(shù)據(jù)庫(kù)。因?yàn)槿绻渲幸粋€(gè)網(wǎng)站有漏洞，黑客進(jìn)入了數(shù)據(jù)庫(kù)，這就威脅到了整個(gè)數(shù)據(jù)庫(kù)表的安全。然后還應(yīng)該設(shè)置Wordpress數(shù)據(jù)庫(kù)的操作權(quán)限，比如，哪些賬戶可能有insert、delete和create權(quán)限，哪些只有select權(quán)限等。

另外各個(gè)數(shù)據(jù)庫(kù)賬戶的密碼一定要非常強(qiáng)壯，最好用密碼管理軟件生成一串包含數(shù)字、字母和符號(hào)的隨機(jī)密碼。關(guān)于權(quán)限設(shè)置，你可能參考以下代碼：

$ mysql -u root -p

mysql> create database ‘myblog’;

mysql> grant select, insert, delete, update, create, drop, alter on myblog.* to ‘bloguser’@’localhost’ identified by ‘mypassword’;

mysql> flush privileges;

mysql> exit;

不要在管理員的用戶名中使用諸如Admin這樣的名稱，你可以直接用MySQL打開數(shù)據(jù)庫(kù)，直接修改數(shù)據(jù)庫(kù)中的管理員用戶名。表名為_users。也一定注意管理員的密碼。要跟上面設(shè)置數(shù)據(jù)庫(kù)的密碼一樣，要弄得復(fù)雜一些，最好有大寫字母、小寫字母、數(shù)字和符號(hào)。可以考慮用一些密碼管理軟件，如KeePass等來保存密碼。

這一條不是很覺見，因?yàn)楹芏嗾军c(diǎn)一般是不支持SSL（HTTPS）的訪問模式，需要付費(fèi)。但Wordpress是支持用HTTPS的方式訪問的。如果你的服務(wù)器支持HTTPS，你一定使用加密方式訪問后臺(tái)。因?yàn)槿绻褂靡话愕腍TTP，你的密碼可能會(huì)被人用抓包嗅探軟件截取到。要啟用HTTPS訪問后臺(tái)的方式的話，你需要在wp-config.php中加入以下代碼：

define(‘FORCE_SSL_ADMIN’, true);

新版本的發(fā)布除了新功能一定還有對(duì)漏洞的修復(fù)。所以當(dāng)有新版本發(fā)布時(shí)，你一定要重視了解下此版本修復(fù)了哪些漏洞。要及時(shí)下載最新安裝包更新到新版本。

一定要定期備份數(shù)據(jù)庫(kù)。因?yàn)橐坏?shù)據(jù)庫(kù)被入侵破壞，你可以將數(shù)據(jù)庫(kù)恢復(fù)過來。誰都不想幸幸苦苦做的內(nèi)容瞬間化為灰燼。你可以找找Wordpress數(shù)據(jù)庫(kù)備份的插件，有些插件可以設(shè)置定期自動(dòng)執(zhí)行備份操作。有一款叫WP-DB Manager的插件可以自動(dòng)將備份發(fā)送到你的Gmail郵箱。

除了備份數(shù)據(jù)庫(kù)以外，也應(yīng)該把Wordpress的文件做定期備份。特別是當(dāng)你對(duì)代碼做了很大的修改的情況下，比如插件、主題模板等，你更應(yīng)該對(duì)源代碼做一下備份。萬一Wordpress被攻擊，恢復(fù)起來也容易得多。

有些主機(jī)可能允許瀏覽目錄結(jié)構(gòu)，這個(gè)的安全隱患非常大。瀏覽目錄結(jié)構(gòu)表示黑客可以看到你所有的文件名。最簡(jiǎn)單的辦法是在每個(gè)目錄下面都放上一個(gè)空內(nèi)容的index.html文件。這樣訪問者就只能看到一個(gè)空白的頁(yè)面了。要關(guān)閉Apache的目錄瀏覽也很簡(jiǎn)單，只需要在根目錄的.htaccess文件中添加這行代碼：

Options All -Indexes