前几天连续发现博客有漂浮广告出现，但不是我自己添加的。怀疑博客中了木马，我把整个博客的程序和数据库都删除了，上传了最新的WordPress3.0的程序，重建数据库。花了我3个小时左右时间才完成。所以写一篇如何打造WP的安全体系。

WP由于是开源程序，所以会衍生一些新的版本，如汉化版等。如果你确定可以信赖这些衍生版本，当然可以使用。如果你不确定它的可信度，就要去官方网站下载最新的程序。

WP3.0不会强制生成admin这个用户和随机密码，这样黑客就不知道管理员的帐号了，防止暴力破解。写文章要新建一个编辑帐户，就可随时发表文章。WP3.0从用户权限方面增加了安全系数。建议使用最新的程序。

在安装WP的时候，有一项是创建数据库表文件，可以填写表文件的前缀，默认是“WP_”不要使用这个前缀，SQL注入首先就是要知道数据库表名，改掉这个前缀就增加了数据库的安全系数。

WP的主程序选用了之后，就是选用主题和插件。一些黑客攻击网站的目的很简单，他们的动机就是把自己的广告植入人家的网站，利用别人网站的流量来为自己赚钱，所以这个环节也不能出现疏漏。主题和插件的选用，最好是那些著名的，著名主题和插件较为安全，如果有漏洞也会有人很快提出来。

将重要的文件设置成只读权限，一般的虚拟主机将上传的文件都会设置成默认的权限。这里重点要防护config.php这个文件，一定要设置成只读，否则黑客很容易盗取你的WP。安装文件也是重点防护对象，安装完毕后最好把它直接删除了，一些损人不利己的人要是把你的博客重置，就太划不来了。

如果您的主题中有关于WP的版本信息，必须要删掉。版本就代表着这个版本原有的漏洞已为人知，黑客可以毫不费力的利用这个漏洞来攻击你的博客。这里建议每个WP博客，都要安装一个WP Security Scan插件，这款插件可以评估你博客的安全等级，可以完成修改数据表前缀、删除WP版本信息等。

保证使用管理员权限登录博客时的上网环境安全，很多网上银行被盗并不是黑客攻击了银行系统，而是通过客户端盗取了帐号和密码。

定期备份数据，只要有数据什么时候能重新恢复，这是最后一道屏障。至少一个月要备份一次，使用WP自带的工具备份就好，也可以使用WP DB Backup插件来进行备份。

通过以上方法，你已经获得了基本的WP安全保证，下一篇会写如何打造WP的进阶安全体系。

本文由 网赚培训http://www.egship.com 首发，转载请您保留链接，非常感谢！！！