你的WordPress博客安全设置合格吗

lihua720204

你的Wordpress博客安全设置合格吗?金选网赚博客注意到很多wordpress博客在建立博客的是偶安全设置做的并不测底，所以总结了博客安全设置几条，大家各自检查一下，为了自己的博客能够长治久安还是检查一下好啊！
1.忘记或者忽略了网站备份
这是最常见的现象:买个域名，弄个空间，以Wordpress为核心建一个网站，放在那里不管了，网站备份什么的根本不知道或者不重视。
主机商也会出问题的啊，特别是数据库服务器（可能是因为磁盘读写量更大），特别是一些小的主机商或者是一些不负责任的主机商，更糟糕的情况是你用的主机服务是由一个既小有不负责任，还到处被人推荐主机商提供的，那更要尤其注意了：网站备份。
网站备份要备什么？简单来说：你的FTP中域名所绑定目录下的wp-content下的全部文件和文件夹再加上数据库备份（不要偷懒使用Wordpress后台提供的导出功能，要知道Wordpress自带的导出功能导出的xml只是数据库中的一部分而已）。
可用的Wordpress备份插件：
免费插件：BackUpWordPress、BackWPup Free 之类；
付费插件:BackUp Buddy之类
2.忽略了Wordpress更新
这里提到的更新涉及：Wordpress核心（也就是Wordpress本身）的更新、所用的插件的更新、所用的主题的更新，不用的主题和插件最好全部删除，以免Wordpress的更新机制影响了网站的性能表现。
更新并不一定是为了获取更花哨的特性，主要是为了网站安全。
曾经见过某个朋友在在上个月还在用Wordpress 3.4.1,问他为啥不用最新版本的3.9.1（你看到这篇文章的时候可能已经有了更新的版本了），他说主机商告诉他老版本更快。我告诉他，主机商的潜台词是，老版本消耗服务器资源更少，也会相对快一些，可是他肯定没告诉你老版本的安全问题吧，答案是肯定的。
3.使用admin作为管理员用户名
这个常用，是不错的，如果你用这个admin作为管理员的用户名，再加上一个弱密码或者曾经泄露过的密码，那么，就存在极大的安全风险了。
4.到处下载“免费”的Wordpress主题或插件
到处去下载“免费”（加引号是说这里特指的是本应付费，为了省钱之类的理由或者习惯而像免费获取并使用）的Wordpress主题或/和插件，并且敢在正式网站上使用，对这种人的这种行为，我是持否定态度的：
4.1 这是盗窃：本来应该是付费的，你免费给用了；
4.2 存在极大的安全风险，特别是对不懂js和PHP的人来说，悠着点儿吧；
4.3 …
即使是真正免费的主题或者插件，也应该从可信的网站或者渠道获得。
5.未使用缓存
使用缓存，能够提升网站的性能表现，获取更佳的用户体验。插件方面:W3 Total Cache、WP Super Cache都是不错的选择。
6.未删除WP安装时的某些内容或文件
至于Wordpress安装后自己生成的示例页面和示例文章，不说为啥了，删除就是了。更主要的是及时将wp-admin下的install.php更名或者删除。
7.避免垃圾评论
当你的网站刚建立的时候或者一直不温不火的时候，是没有什么垃圾评论的，但是，当你的网站有了起色后，垃圾评论随之即来，可以说，有垃圾评论，说明你的网站是受欢迎的。
为啥有垃圾评论？那些人是想赚个链接，提高个曝光率之类的。
如何应对？免费插件Disable Comments是个不错的选择，对于Wordpress使用者来说。
8. 分类太多，标签太少
使用Wordpress建网站，你可以方便的创建分类和标签，这些能让你把相关性较高的文章放在一起。常见的情况是，许多Wordpress使用者仅热衷于分类的使用，对标签的态度相对冷漠，这是不好的，因为这样做会让分类太多，标签太少，总之，应该善用标签，如果有一个彩色标签云小工具的话，那是极好的，因为比较直观，分类的话，在视觉上就比较理性，比较刻板了。
9.使用默认的favicon
许多主题（包括免费的和付费的）都有favicon设置项，你该用自己的favicon.
favicon是什么？简单说，就是会出现在浏览器地址栏中你的网址前面或者浏览器上页面标题前面的小图标。
10.在淘宝买个汉化主题装上
不想说多少那些在淘宝卖盗版主题的人的坏话，只是想说：你确定你的网站上需要twitter/facebook/google plus之类的国外社交链接嘛？
许多商业主题用的js/php或者必需插件中用的js/php都含有上述链接，那些在淘宝做汉化，深度汉化的Wordpress初级选手们，你们确定你们负责任的移除了他们吗？
购买使用这些来源主题的人建的网站会慢，原因吗，不解释。
11. 网站没有考虑移动设备用户的体验
网站应该有对应的适合在移动设备（PAD、手机之类）展示的版本，或者，Wordpress主题自身就是响应式的(responsive，有些人翻译为自适应的)，最佳方案是：网站主题是响应式的，可以在各种尺寸的设备上完美呈现。
对已早已经建成的，并且使用的是主题不是响应式主题的Wordpress网站，wordpress touch pro（付费插件）之类的插件是不错的选择。
12. 忘记或者没有设置固定链接
最好是全站伪静态的，当然了，某些主机或者主机商由于服务器配置问题，对含有中文的固定链接支持不好，甚至不支持，可是你又非常爱那个主机，那就另当别论了。
13.未设置在线联络表单
起码应该有一个在线联络表单，在这方面，免费插件contact form 7是极佳的选择。
14.未设置网站统计
访客主要在国内的话，推荐用百度统计或者CNZZ；访客主要在国外的话，推荐用Google Analytics。
15.没有优化图片
图片的尺寸应该和图片容器的尺寸相当，或者是图片容器尺寸的2倍（这算是一种比较猥琐的支持retina设备浏览的方式吗？），举个例子来说，图片容器最大尺寸是100*100，你就没有必要上传一张500*500的图片，因为那样会让网页载入速度过慢。