WordPress安全吗？简单的对WordPress做一些安全防护

WordPress毫不夸张的说是世界上使用人数最多的开源CMS系统，早已在无数人的使用过程中见证了它的安全性，但是还是经常能看到一些WordPress的系统出现各种各样的事故，虽然不排除WordPress本身也存在一定的安全漏洞，但是其中大多是由于WordPress的扩展插件引起的，所以，使用WordPress的原则是插件越少越好，在基本不使用插件的前提下对WordPress进行安全加固，接下来看一下对WordPress进行基本的安全防护操作有哪些吧。

1、WordPress后台登录界面防护；

打开WordPress根目录下的wp-login.php文件，用Ctrl+F快捷键找到如下代码

if ( $shake_error_codes && $wp_error->get_error_code() && in_array( $wp_error->get_error_code(), $shake_error_codes ) )add_action( 'login_head', 'wp_shake_js', 12 );

在这一段的代码的?>的下一行加入如下代码

<?phpif($_GET["aa"]!="bb"){header('Location: http://www.52aite.cn');}?>

添加完此行代码后保存，重新上传到服务器中，这时，WordPress后台的登录界面变成了：域名/wp-login.php?aa=bb的形式，其中aa和bb可以任意设置为一个只有自己知道的字母或符号，这样一来，后台登录界面就被隐藏掉了。

2、隐藏绝对路径；

一般来说在正常设置404页面后，绝对路径的泄露风险会小很多，但是在WordPress中有以下几个页面是会泄露你的绝对路径的，如下

1、/wp-includes/registration-functions.php2、/wp-includes/user.php3、/wp-admin/admin-functions.php4、/wp-admin/upgrade-functions.php

可以对这几个文件单独设置隐藏报错，打开这几个文件，在页面头部下面一行添加

error_reporting(0);

即可。

另外还可以通过对php的设置进行屏蔽整个WordPress系统的报错，打开php.ini文件，找到display_errors，将值修改为off即可。

3、利用.hataccess文件对WordPress目录进行安全加固；

WordPress中有一个很重要的目录：wp-includes，这里面的文件大多是一些系统文件，访客是没有必要访问这个文件的，如果发现有某个访客在访问这个目录的时候，那可要小心了。说不定是在对你的WordPress打着什么不好的主意。这时候应该用.htaccess文件来保护它。

打开.htaccess文件，在里面添加如下代码

# Block the include-only files.RewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]# BEGIN WordPress

这样就无法访问wp-includes目录了。

4、正确设置文件的权限；

这里不多说了，如wp-config.php文件设置权限为“400”等。