网站安全，是许多WordPress新手容易忽略的一个重要问题。如何确保WordPress网站安全，也是许多刚刚接触WordPress的用户面临的一个难题。WordPress中文网本系列教程教你介绍一系列的步骤，来保护你WordPress网站的安全。这一些列步骤共分32步，今天介绍第23~27步。

全文目录

32步WordPress网站安全终极检查清单 – 目录

23. 禁止执行PHP代码

如果黑客通过某种手段侵入了你的网站，那么他要做的第一件事可能就是在某个文件夹内执行PHP代码。但是，如果禁止掉这个功能，那么就算你的网站被入侵，也能保护你的网站不会产生严重的后果。

这是保护WordPress安全一个重要步骤，可能会影响某些插件和主题的运行。但是，你至少应该限制最可能出现问题的两个目录 wp-includes 和 uploads 。

你可以把以下代码放到 .htaccess 文件中，然后把文件放在WordPress文件的根目录，或者你想要限制的目录（比如上面我们说的 wp-includes 和 uploads 目录）：

<files *.php>
order allow,deny
deny from all
</files>

24. 隔离WordPress数据库

如果你在同一个服务器上有多个网站，你可能会喜欢所有的网站共用同一个数据库。

这样会影响WordPress网站的安全。如果其中一个网站被黑，其他使用同一个数据库的WordPress网站也就有可能被黑掉。

在你设置WordPress安装的时候，第一件事就是应该穿件一个新的数据库。给数据库设置一个单独的名称、单独的数据库用户名和单独的密码，这些都应该和其他网站的数据库信息不一样。

这样，即使你的其中一个网站被黑，也不会通过数据库入侵到你同一个服务器上的其他网站。

25. 限制数据库用户的权限

当你第一次设置WordPress网站的时候，由于缺少信息，你可能会由于权限设置不当而给数据库带来隐患。

通常来说，数据库用户需要以下权限：对于绝大多数的WordPress网站日常操作来说，只需要读取和写入数据库的权限：SELECT（选择）, INSERT（插入）, UPDATE（更新）, 以及DELETE（删除）。

你可以移除以下这些权限：DROP（删除数据库或数据表）, ALTER（更改数据表）和GRANT（赋予数据库或数据表权限）。

注意：有些WordPress主版本的升级可能需要这些权限（比如要修改某个数据表），但是绝大部分日常工作并不需要这些权限。你可以在需要的时候，临时更改设置。

26. 禁止文件编辑

当你刚开始建站的时候，你可能会经常要调整主题、修改插件，因此需要对这些文件进行编辑。除此之外，一般情况下WordPress的管理员都没有必要去编辑PHP文件。

因此，当你的网站开发工作完成之后，一旦正式运行，你就没有必要去编辑这些文件了。

同时，允许管理员编辑这些文件，还存在安全上的漏洞。因为一般黑客破解登录到你的网站，那他们就可以马上修改你的php文件，在文件中随意植入他们想要的放置的木马病毒等恶意代码。

要想禁止管理员编辑这些php文件，你只要将以下代码放入到你的wp-config.php文件就可以了：

define('DISALLOW_FILE_EDIT', true);

27. 保护wp-config.php文件的安全

如果把WordPress的文件比作一个人的身体，那么 wp-config.php 文件就是人的心脏。

我们这里不再对 wp-config.php 文件的重要性做过多的解释，以后我们将专门撰文介绍。我们只要记住这个事实，wp-config.php文件存储了许多重要的信息，包括WordPress网站的数据库名称、用户名、密码、身份验证密钥、以及其他一些重要的设置。因此，这个文件可以说是非常重要。简单地说，其他任何人都应禁止接触该文件。

我们强烈建议加强对WordPress核心配置文件 wp-config.php 的保护。对于是否要转移该文件的位置来提升 wp-config.php文件的安全性，网上有一些争议；但大家都同意应该保护wp-config.php文件的安全。

如果你没有设置上面第23步中介绍的安全举措（禁止执行PHP代码），那么你可以在.htaccess文件中添加以下代码：

<files wp-config.php>
order allow,deny
deny from all
</files>

当然，如果你已经严格执行了第23步，那么也就不需要再进行这一步骤了。

（未完，待续…）