由于WordPress目前的用戶量較大，當(dāng)然也就會被很多針對被黑的目標。于是，提高WordPress的安全性還是很重要的，對于WordPress網(wǎng)站的安全性，需要從服務(wù)器主機的安全，再到網(wǎng)站自身主題和插件以及代碼的安全。在這篇文字中，麥子整理幾個通過WordPress代碼來提高安全性的性能。

尤其在我們用虛擬主機的時候，較多的用的是 Apache 引擎，這里設(shè)置主機和網(wǎng)站安全的是在用.Htaccess的文件，這里我們通過改善.Htaccess的安全性來提高網(wǎng)站的安全。

1、Apache偽靜態(tài)

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

一般我們會用偽靜態(tài)的，在WP后臺設(shè)置固定鏈接后，還需要在根目錄的.htaccess設(shè)置偽靜態(tài)文件。

2、設(shè)置wp-config.php權(quán)限

<files wp-config.php>
order allow,deny
deny from all
</files>

很多時候，wp-config.php文件的安全性是很重要的，我們需要設(shè)置這個文件的絕對權(quán)限。

3、WP-CONTENT權(quán)限設(shè)置

網(wǎng)站的主題和插件文件都在這個目錄中，但是我們允許用戶訪問的是圖片和CSS之類，這里我們其他都做權(quán)限設(shè)置。

Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>

4、限制管理員IP

如果我們要確保管理員的登錄安全，可以設(shè)置 wp-admin只能是我們的IP登錄。這里要確定我們的IP是完全固定的。

<Limit GET POST PUT>
order deny,allow
deny from all
allow from 11.11.11.11
</Limit>

可以在wp-admin中放置.htaccess文件設(shè)置這個目錄的IP權(quán)限，將IP改成我們自己的。

5、限制陌生IP

<Limit GET POST>
order allow,deny
deny from 11.11.11.11
deny from 22.22.22.22
allow from all
</Limit>

如果有可疑的IP我們可以通過這個腳本來限制訪問。

6、禁止圖片被引用防盜鏈

我們是不是會有發(fā)現(xiàn)自己網(wǎng)站的圖片被人引用的，這樣會降低我們的網(wǎng)站速度和性能。我們直接禁止被引用。

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?zhujipingjia.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ https://默認隨機圖片 [NC,R,L]

可以將網(wǎng)站改成我們自己的網(wǎng)址，然后將默認引用的圖片給他跳轉(zhuǎn)一個固定的廣告圖片。

這幾個腳本通過.HTACCESS可以解決一些安全問題和提高網(wǎng)站性能。