前段时间一个大妈投递一篇关于wordpress安全的文章，看来如何让wordpress更安全的运行，已经引起了大家的注意，看看icyleaf翻译的wordpress安全保密hacks（有删节，原文有疏漏，大家还是看这里吧）,是不是更全面呢？

1. 不允许任何人搜索到你的服务器信息
1).不要在Search.php文件中使用这些搜索代码，如：
<？phpecho$_SERVER['PHP_SELF']; ？>

请使用下面的代码代替上面的代码（请在英文输入法下敲入以下代码）：
<？phpbloginfo(‘home’); ？>
绝大多数主题已经修改了，这点大家可以放心。

2).阻止搜索引擎（搜索爬虫）搜索以WP-为开头的文件夹里面的文件。最方面的阻止方法就是在博客根目录建立robots.txt文件，并在里面添加：
Disallow: /wp-*
当然还得加上
Disallow: /*.php$
Disallow: /?s=
还得好好款待下爬虫
Does anyone care I love Google Apache htaccess
Sitemap: http://yourdomain.com/sitemap.xml

2. 不要把目录以网页列表的形式暴露出来
WordPress有一个潜在性的问题可以使得其他用户查看你的博客的插件目录以及版本号。你可以尝试的在你的博客上后加上”/wp-content/plugins/”看看效果。
是不是可以显示出来？！
看看我的试http://someus.cn/wp-content/plugins/，不能列出来了吧！有两种方法可以解决：
1).在plugins和themes文件夹下面分别建一个名为index.htm的空文件就可以保护它了。
2).在.htaccess文件里添加如下规则：
Options All -Indexes

3. 把你的版本号从Meta标签中删除掉
一般来说，默认的WordPrss以及网友制作的主题的header.php文件都会有你使用的WordPress版本号的meta标签（下面）。这极易 有可能你因没有及时升级因旧版本暴露的漏洞让黑客们利用。建议删除掉这个标签。这里还有 Matt Cutts 提出的不错建议。
<meta name=”generator”content=”WordPress <?php bloginfo(‘version’); ?>” />

翻译者按：为什么网友制作的主题也会添加这个标签呢，主要是默认版本的在这个标签的后面有一个注解：
<!– leave thisforstats –>
这个比较“囧”，我暂且留着吧。

4. 捍卫你的wp-admin文件夹
1).通过限制IP地址访问wp-admin文件夹
此方法是用在.htaccess文件添加某些配置来限制某些具体的IP地址访问wp-admin文件夹
2).使用插件Login Lockdown plugin
他的好处就在于，他可以记录每一次登陆失败时使用者的IP地址和登录时间。当达到你设定的失败次数，插件的特定函数会阻止此IP地址
的使用者继续登录操作。
这两个大妈都介绍过了，再来个新的。
3).使用插件：AskApache Password Protect
非常的简单好用，它可以为访问wp-admin文件夹的用户设置一个二级密码保护同时也把信息写在.htaccess文件中，只有输入正确的用户
名和密码就才能访问后台。点击这里直接下载试用吧！

5. 注意保持及时更新
你最好需要保证你的插件，主题以及使用的WordPress的版本的不断更新，这里建议你订阅你使用的插件，主题作者的博客以保证及时获得最新的更新消息。

6. 定期备份博客的数据库
这是一个持久的事情，你需要经常性的或者定期性的备份你博客的数据库，对于数据库的备份我们可以使用 WordPress Database Backup 插件来完成定期备份。
我用的Dreamhost空间，不用插件也可以定时备份，还可以把备份数据发到指定的邮箱。

7. 升级你的WordPress为最新版本
在升级之前一定要备份好一些数据和你认为改备份的东西，至于升级可以使用 Instant Upgrade 插件或者Wordpress Automatic Upgrade插件来完成。
其实新版本Bug也比较多的，建议新手按奈一段时间再升。

8. 使用SSH/Shell方式代替FTP登录操作
如果某人获得了你的FTP的登录信息（当然包括密码咯），他们就可以在登录后胡作非为的，这是很可怕的事情哦…而使用SSH/Shell你就大可放心，因为他们的任何传输都是通过加密的，保证安全性！
Putty是Windows下最好的SSH客户端，具体使用方法请看我前面写的“使用dreamhost主机ssh功能升级wordpress”

9.不要再担忧你的wp-config.php文件
通过在.htaccess文件添加下面的配置会使你的wp-config.php文件里面的配置信息（数据库地址，用户名和密码）更加安全可靠。
<filesmatch>deny from all</filesmatch>
这个有点“囧”，正确的写法是：
<files wp-config.php>
order allow,deny
deny from all
</files>

10. 为你的WordPress用户设置一个强悍的密码
攻击者常常会使用一些暴力破解软件或者利用社会工程学来破解WordPress用户设置的弱口令（简单，常用的密码）。下面收集了防范的一些方法可以有效的阻止这种事情发生。
翻译者按：这段我就不过多翻译了，因为我也写过这方面的文章（《黑客手册》某期，不好意思我忘记是哪期了），这里我就以我的思路给大家一些方法。
大家都知道一个强悍的密码应包括字母，数字和一些特殊符号组成，如果你设置了一个Sfd@#35，这个谁也记不着。其实一个强悍的密码看着复杂如果你知道了敲门其实
一
点也不难记忆，而且非常有规律，这里我举一个最简单的例子：
1+1=two

是不是很简单，1+1=2这是很简单的数学算式，小学一年级的都会的（现在的小学一年级有英语了吧，就算没有学前教育的父母也应该逼着他们学了吧）。这个密码完全
符合一个强悍的密码的定义。再例如：
zxasqw12`
或许猛的一看，这个是什么呀，没什么规律嘛，其实你安装这个密码自己尝试下就明白了，这个方法我称之为键盘分布法。另外还有所问非所答法，例如：
1+1=one
1+2=twelve
1+1=ten
方法还有很多，发挥你的想象力，总会出现奇迹的！

这一段超级“囧”，据我所知，很多破解字典早已把这些加进去了，建议大家不要随大流，尽量构造个有自己的特色并符合强壮密码要求的密码，比如
dad+mum+me=1
dad、mum、me换成拼音缩写！好记，也强壮！不要试我的Blog，明确告诉你，不是这个密码。

忘记wordpress密码、主机又不支持邮件功能咋办呢？FXL和你有类似经历，看看他是怎么解决的吧！
wordpress密码丢失解决办法
1.直接修改数据库
如果可以直接管理数据库，执行如下语句：
“update user set password=password(”新密码”) where user=’用户名’;”

2.PHP修改方法
新建一个pwd.php文件,并在其中加入：
echo md5(’你的密码’);
上传到主机根目录下，执行http://你的域名/pwd.php,然后连到你的数据库执行：
update wp_users set user_pass=’执行pwd.php显示的字符串’ where user_login=’admin’;
OK，现在可以用自己设定的密码进入管理员帐户了。

我们还收集了其他几种解决密码丢失的方法：
1.Information Life：Wordpress忘记密码解决方案
2.政霖书阁：修改MD5值充值密码

用wordpress搭建blog，难免要对主题修修补补，我也不例外。现在我所使用的这款主题——mozine theme for wordpress，基于K2修改而来，功能强大，几乎涵盖了wordpress主题的方方面面，建议新手们参照学习学习，我也在学习之中……借 iwordpress的大旗，今天接着谈谈我完善wordpress主题的一些小手术，如果你是个老鸟，还请留步。

第一篇：首页显示摘要、RSS全文输出解决方法

1. 使用the_excerpt函数（缺点：摘要是纯文本形式）。

使用方法：编辑wp-contant/themes/你的模版/index.php 文件。
找到
view source
print?
1.the_content((’(more…)’))

或
view source
print?
1.the_content()

修改为:
view source
print?
1.the_excerpt((’(more…)’))

或
view source
print?
1.the_excerpt()

现在你的wordpress首页即可显示摘要了，如其他页面也需显示摘要，照此修改即可。
2. 使用乌拉诺斯修改过的中文wordpress工具箱插件（摘要支持html语句，排版同文章格式）

下载地址：中文wordpress工具箱！
使用方法：开启插件，还是编辑wp-contant/themes/你的模版/index.php 文件。
方法同上，不过要修改为:
view source
print?
1.the_excerpt()

注意，没有(more…)
3. 使用more标签（需每次手动更改）

在需要截断处，点击more编辑按钮即可

新版wordpress2.5业已支持RSS全文输出，此次修改不会影响RSS输出，请放心使用。

在安装WordPress之前，请先确认即将安装并运行WordPress的主机配置是否符合以下两点基本要求:
1,PHP：4.2版本或者更高
2,MySQL：4.0版本或者更高

在满足以上基础要求的条件下，尽量的选择配置好，综合性能高的主机来运行WordPress。一个事实是WordPress的执行效率并不是很理想，记得07年，国内还没有几家IDC能提供完美支持WordPress的主机，虽然只要满足了两个基本的要求，就可以安装并运行WordPress，但为了让访问者能在最短的时间完全载入博客页面，为了能更有好的面对搜索引擎，为了能让博客的有更多的个人主管因素，也为了能在使用过程中能尽量的提高效率，请选择符合以下软件配置的主机：
1,Linux（操作系统）
2,Apache(要支持The mod_rewrite（URL的伪静态）)
3,Mysql(数据库)
4,PHP(语言)
搭建一个Blog平台很容易，而且即使是大规模的写作，也不需要很多的空间，一个个人的Blog需要的空间很少就可以了，比如50M或者100M。所以现在很多IDC都会在一个服务器上把空间分割成很多份，这样其实就无形的增大了服务器的负担，使用LAMP+高性能的硬件配置，这样才能构成稳定性和负载能力都很强的主机，所以在购买的时候，请货比三家。

很多朋友都注意到了，在wp-admin后台却没有这个导出的链接，只有导入”Import Links”。每次重新添加Blogroll是一个很浪费时间的问题，既然设置了有导入链接，那一定也有到处链接的方法。这篇文章就是告诉大家怎么备份和导入Blogroll。
备份方法：打开这个链接：http://yourblog.com/wp-links-opml.php,将里面的内容用记事本保存为OPML文件，即以”.xml”结尾的文件。最好把属性改为”utf-8″，因为WP语言支持是utf-8的。
导入方法：很简单，如果你想把另外一个基于wordpress的博客友情链接中导入blogroll到现在的Wordpress中，那么，有两种方法。
第一种是在导入链接页面的URL栏中输入：http://yourblog.com/wp-links-opml.php(yourblog.com换成你博客地址的绝对路径)。
第二种是把备份的以.XML结尾的文件上传。

原文链接：http://www.happinesz.cn/archives/285/

来自Instigator Blog的Ben Yoskovitz写的这篇文章其实不只针对WP用户，对所有爱摆弄的blogger都是友善的指导。

WordPress令更换主题设计非常简单，但是更换之后你仍需注意这些重要步骤：

1，侧栏（sidebar）要重写。多数人对他们的侧栏做过很多变动，添加文字、广告、连接、widget等等。如果你使用的是支持widget的WP主题就没关系（即使主题更改widget仍然会保留）但如果你是手动更改的则需要重新来过。

激活新主题前，保存你侧栏的所有代码（复制粘贴到某处OK）。切换主题时，编辑侧栏文件并保存。

2，重新加入统计跟踪代码。多数人用一些blog统计跟踪工具（如Google Analytics、103bees等）。这通常在加到header或者footer的一串代码。更换WP主题时因为header和footer会被覆 盖，你需要重新添加。否则统计不再生效。添加之后确认统计是否正常工作。

如果你在用Google Webmasters Tools也一样。Google Webmasters Tools需要你验证站点所属。可以通过上传一个文件（和跟更改WP主题无关）或者添加元标签（meta tag）代码到header文件。若是后者，请确认你已经将此代码正确添加。

3，检查所需要的插件。你也许不必再使用先前的某些插件，有些或者跟你的新主题不配或已经多余。比如作者曾使用一个Optimal Title插件，这对SEO是很好的，但是之后发现新的主题已经自动将文章标题前置了，因为该插件不再需要。

也会有些插件你不再想用，是大扫除的时候啦。

4，验证插件是否工作。不需要更改模板文件就生效的插件应该是OK，不过很多就不是了。你需要在模板中添加相应代码，比如Related Entries插件。

某些插件可能会因为新的CSS而变得外形奇怪，这样你也必须修改CSS文件。

5，更新你的广告设计和颜色。如果你在用Google AdSense、Text-Link-Ads或其他任何形式的广告，注意新旧广告因为主题/颜色变动可能带来的不完美。如用Google AdSense 的话通过AdSense Deluxe就可简单更改WP的颜色。Text-Link-Ads的话你也可以编辑WP的插件来实现。

6，确认RSS feed订阅正常工作。相当重要的哦。

7，测试所有的二级特性。当一开始选择一个主题时你没有发现它的全部功能特性，包括页面、搜索、分类、归档。现在来仔细看一看或许会让你大吃一惊。比如，换新主题后我试了下搜索，发现搜索结果里没有包含文章摘要，那我就要改一改了。

8，用不同浏览器测试。多数人会忘记用多种浏览器测试，但这非常关键。如果你是用PC，可以很容易在Firefox和IE里测试。在Mac上可以用Firefox和Safari。

9，细心更改。你也许没有花很多时间玩你的新WP主题。所以当你开始改动时，慢慢来。做一些小改动，在多个浏览器里测试看看结果。要动大手术之前你该对主题有深入了解。

10，在你在blog上列出更改。告诉人们你更改了blog设计。收集反馈，从各种不同配置、分辨率、浏览器、屏幕尺寸等等的用户中了解你的主题究竟如何。提醒RSS读者也来参与一下。

原文：10 Things You Must Do When Changing WordPress Themes
翻译：孙波（Flavien）