To make an attack more difficult, you should perform the following actions manually. These solutions do not guarantee 100% security, but you can create effective stumbling blocks on a hacker’s way to the administration area.
1. Rename and Upload the wordpress Folder
重命名WordPress所在目录名
在v2.6之后，我们可以在后台修改WordPress文件所在目录，不过可惜的是，我们无法单独修改wp-admin文件夹的名称。
不过有总比没有好啦。

2. Extend the file wp-config.php
扩展设置你的wp-config.php
在v2.7开始，我们可以设置以下几个安全参数：

define('AUTH_KEY', '替换该字符串');
define('SECURE_AUTH_KEY', '替换该字符串');
define('LOGGED_IN_KEY', '替换该字符串');
define('NONCE_KEY', '替换该字符串');

另外，还有$table_prefix参数，或者，你可以在里边加入

define(’FORCE_SSL_ADMIN’, true);

来增加登录的安全校验。
你也可以学习其他系统的安全设置，关于改文件的设置可以参考WordPress Codex

3. Move the wp-config.php file
移动wp-config.php文件
在v2.6之后，我们可以将wp-config.php文件移动到安装文件包外边……
个人猜测这个应在是WordPress安装在子文件夹内的时候才会发生的状况。
具体没有测试过，这段的原文如下：

Also since version 2.6, WordPress allows you to move the wp-config.php file to a higher level. Because this system file contains by far more sensitive information than any other, and because it is difficult to access the parent file server level, it certainly makes sense to store it outside of the actual installation. WordPress automatically looks at the highest underlying index for the configuration settings file. Any attempt by users to adjust the path is thus useless.

4. Protect the wp-config.php file
保护wp-config.php文件
这个需要主机支持，在.htaccess文件里增加下边的代码:

# protect wp-config.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

5. Delete the admin User Account
删除admin帐号
由于admin是内建帐号，这相当于告诉了别人帐号名，所以存在安全隐患，最简单的做法就是用admin帐号登录后，建立一个新帐号，然后提升为admin权限，接着用新帐号登录，删除掉admin帐号即可。

6. Choose strong passwords
使用强壮的密码，哈，不知道是不是该翻译成"强壮"?
这个就不多说了，尽量长，尽量复杂的组合，应该就可以了。

7. Protect the wp-admin Directory
保护wp-admin目录
这个需要在wp-admin目录里设置.htpasswd文件，具体的设置请参考：http://www.htaccesstools.com/htpasswd-generator，唉，杭州这里无法访问改url，估计被电信和谐了……

8. Suppress Error Feedback on the Log-In Page
禁止Login页的登录错误信息
这一点我觉得有点多余了吧，去除掉登录时候显示的登录错误信息……

add_filter('login_errors',create_function('$a', 'return null;'));

9. Restrict Erroneous Log-In Attempts
限制登录尝试次数
这个挺有必要的，有2个解决方案：
1.Login LockDown
2.Limit Login Attempts
这2个插件都可以限制登录次数。

10. Keep Software Up to Date
保持WordPress的版本更新
最好是保持到最新的正式版本，个人建议哈……另外插件也要记得更新到最新版本。
最后加一条，有些皮肤模板里边有人加了恶意代码…SO，请从正规网站下载皮肤...

Some Related Posts

• 2009/07/06 -- WordPress-一些奇怪的错误Some Special Error (1)
• 2009/06/19 -- 介绍下WordPress (1)
• 2009/06/04 -- 15款WordPress角色权限管理插件 | 转载自帕兰映像 (0)
• 2009/05/07 -- WordPress Plugins-WP Super Cache使用介绍 (2)
• 2009/05/06 -- WordPress-CMS Hacks and Tricks (4)
• 2009/03/28 -- WordPress Plugins-Optimize DB (0)
• 2009/02/06 -- WordPress Plugins-Wp-to-twitter (2)
• 2009/02/06 -- WordPress Plugins-Fanfouportable (0)
• 2009/02/04 -- WordPress Plugins-nwhy.org使用的插件列表 (0)
• 2009/02/03 -- WordPress Plugins-Twitter Updater (2)

127.0.0.2       wp
127.0.0.3       wp1
127.0.0.4       wp2
#前边是ip地址，后边是访问路径，这样我们在访问wp的时候，系统会自动解析到127.0.0.2，下边的一次类推。
#PS：后边不要输入类似于df.dou等带“.”号的东西，会被解析成互联网地址，然后就被万恶的电信带到404页面去了……
#PS2：电信的404页面有MM图…

配置完Host文件记得保存，是不是挺简单呢～

接这配置Apache的httpd.conf，找个地方输入：

#由Apache来做域名的转向，D:\website\wp27all就是我们安装的WordPress的物理地址
  <virtualhost 127.0.0.2>
          DocumentRoot  D:\website\wp27all
          ServerName   wp
  </virtualhost>  

  <virtualhost 127.0.0.3>
          DocumentRoot  D:\website\wp27all
          ServerName   wp1
  </virtualhost>  

  <virtualhost 127.0.0.4>
          DocumentRoot  D:\website\wp27all
          ServerName   wp2
  </virtualhost>

看吧，其实Apache配置起来也不难的～
别急，还有最后一步，我们得配置下WordPress的wp-config.php文件来为各个网站分配数据库。
为了方便，这里只使用一个数据库，而使用前缀来区别不同网站。
wp-config.php：

/**
 * WordPress数据表前缀。
 *
 * 如果您有在同一数据库内安装多个 WordPress 的需求，请为每个 WordPress 设置不同的数据表前缀。
 * 前缀名只能为数字、字母加下划线。
 *
 *如果是网络版多网站一个WordPress，把wp，wp1，wp2更换成域名即可，如www.nwhy.org
 */
if($_SERVER["HTTP_HOST"]=="wp"){
$table_prefix  = 'wp_';
}else if($_SERVER["HTTP_HOST"]=="wp1"){
$table_prefix  = 'wp1_';
}else if($_SERVER["HTTP_HOST"]=="wp2"){
$table_prefix  = 'wp2_';
}

到此，全部搞定，现在输入http://wp开始安装第一个WordPress吧～

Some Related Posts

• 2009/02/04 -- WordPress-10步增加WP的后台安全性 (2)
• 2009/11/17 -- WordPress-AppCloud主题 (0)
• 2009/10/21 -- WordPress-Tipz Theme Released (4)
• 2009/07/06 -- WordPress-一些奇怪的错误Some Special Error (1)
• 2009/06/30 -- WordPress-2次开发常用函数 (0)
• 2009/06/29 -- WordPress-Theme的制作 (0)
• 2009/06/22 -- WordPress Themes-BranfordMagazine (0)
• 2009/06/19 -- 介绍下WordPress (1)
• 2009/06/04 -- 15款WordPress角色权限管理插件 | 转载自帕兰映像 (0)
• 2009/05/21 -- WordPress-100 Amazing Free Wordpress Themes for 2009 (1)