WordPress简单安全设置

WordPress简单安全设置（精选15篇）

WordPress简单安全设置 第1篇

最近总是有一些黑阔入侵其他人的博客，下面说下如何防止wordpress博客被黑

首先是权限设置

设置权限只读，chmod -v -R 555(因人而异，如果是cp或者da面板的主机则是550) /home/safe121.com-akdifasdkf434/asdfsd32523/gfgad5346/public_html

然后进入wp-content,输入chmod 777(因人而异，如果是cp或者da面板的主机则是770) -v -R uploads ， 不然该无法上传文件了，

如果有一些插件，比如wp-super-cache之类的，还需要设置cache目录为可写（777）(因人而异，如果是cp或者da面板的主机则是770)

之后是webserver上的设置

应该是：“可执行不给写入，可写入不给执行”

所以，在这两个目录下写入.htaccess文件，内容如下

Order allow,deny

Deny from all

这样就可以禁止执行php了，然后是后台的安全，可以修改下wp-login.php的文件名，不过需要替换此文件里面的wp-login.php为你的新文件名，如果DIY能力比较好，可以查看这篇文章《用usbkey保护网站后台》

这样即使拿到你的密码，也不能进入后台，进入了后台，也不能拿到shell，这样就比较安全了，

WordPress简单安全设置

，

摘自:网络安全技术博客(www.safe121.com)

WordPress简单安全设置 第2篇

核心提示:WordPress是目前世界上使用广泛的博客软件,比较容易受到各种攻击,因此WordPress安全性也是非常重要的,以下有10个安全技巧,可以帮助你轻松的解决WordPress安全性问题,以免你在WordPress的安全性上走更多的弯路.

1、升级WordPress到最新版本

一般来说,新版本的WordPress安全性都会比老版本要好一些,并且解决了已知的各种安全性问题,特别当遇到重大的版本升级时,新版本可能会解决更多的关键性问题.(例如老版本WordPress有remv.php重大漏洞,可能会导致遭受DDoS攻击,升级到最新2.7版本可解决这个问题)

2、隐藏WordPress版本

编辑你的header.php模板,将里面关于WordPress的版本信息都删除,这样 就无法通过查看源代码的防治得知你的WordPress有没有升级到最新版本.

3、更改WordPress用户名

每个 都知道WordPress的管理员用户是admin,具有管理员权限,会攻击这个用户,那么你需要创建一个新用户,将其设置为管理员权限,然后删除老的admin帐号,这就能避免 猜测管理员的用户名.

4、更改WordPress用户密码

安装好WordPress后,系统会发送一个随机密码到你的信箱,修改这个密码,因为这个密码的长度只有6个字符,你要将密码修改为10个字符以上的复杂密码,并尽量使用字母、数字、符号相混合的密码.

5、防止WordPress目录显示

WordPress会默认安装插件到/wp-content/plugins/目录下,通常情况下直接浏览这个目录会列出所有安装的插件名,这很糟糕,因为 可以利用已知插件的漏洞进行攻击,因此可以创建一个空的index.html文件放到这个目录下,当然,修改Apache的.htaccess文件也可以起到相同的作用.

WordPress简单安全设置 第3篇

3.5技术培训

信息技术发展迅猛, 各单位管理和技术人员在一些问题的判断和处理方面存在不同程度的疑惑和不知所措, 如防火墙、入侵检测、存储备份、应急恢复等策略设置的合理性判断、操作系统的安全设置策略

在Win X P操作系统中, 进入任意一个文件夹中, 选中一个文件, 在窗口左边的“文件和文件夹任务”面板中可以看到“复制这个文件”和“移动这个文件”两条命令。利用两条命令我们可以非常方便地复制或者移动文件到指定的目标文件夹中, 省去了在源文件夹和目标文件夹中来回切换的麻烦。可是有的朋友可能并不喜欢Win XP窗口中的任务面板, 所以把它关闭了, 这样在复制移动文件的时候非常不方便。要是能在鼠标右键菜单中增加这两条命令就好了, 请看下面的方法:

单击“开始”菜单, 选择“运行”命令, 在“运行”对话框中输入“reg edit”打开注册表编辑器, 依次展开HKE Y_CL ASSE S_ROOTAll Filesy stem ObjectsshellexContext Menu Handlers分支, 在Context Menu Handlers分支下新建两个项, 然后分别命名为“Copy To”和“Move TO”, 然后将“Copy To”的默认值改为“{7BA4C740-9E 81-11CF-99D3-

家庭简单七步无线网络安全设置 第4篇

WordPress简单安全设置 第5篇

根据我个人的理解，对于博客来说，可以简单的分为常规用户和普通用户，常规用户就是经常来你的博客逛，不太会点击你的广告，所以这个时候你可以在他们来浏览的时候不放置广告，或者把广告的放的偏一些。另外的用户是一些新的用户，他们可能通过搜索引擎，或者别的站点的链接过来的，所以在他们浏览的时候，多放些广告，或者放到显眼的地方。

所以很多朋友在浏览我的博客的时候，会发现我的广告出现在文章前面，那是因为你还不是常规用户，只要你在本搏客浏览一定次数之后，很快就会成为常规用户，广告就会到文章的末尾了。

至于怎么设置，有个插件叫做 Who See ADs。

WordPress 插件：Who Sees Ads

在博客上怎么显示广告还是有一定技巧的，特别是像 Google Adsense 这类点击的广告，很多人把广告往往搏客上一扔就完事，这样的效果其实很不好，如果能够根据访客的类型来显示广告，可以达到更好的效果。而在这方面最的最好的插件就是 Who Sees Ads。

Who Sees Ads是一个高级的广告管理插件，它能让你制定一系列规则来决定谁会看到广告，

它能让你通过以下条件来确定是否显示广告：

来自搜索引擎的用户

常规用户

登陆用户

日志已经发表了 XX 天

在某段时间内的访问

广告已经显示了 XX 次了

用户已经看过这个广告 XX 次了

等等

如下图：

以上等等条件可以给你用来是否给用户显示广告。我在尝试这个插件之后，广告的点击率有比较明显的提高。广告点击率低的同学不妨试下。

不过这个插件也有不好的地方，设置多了必定导致难以使用，设置的时候比较繁杂，这里有个设置的 demo。另外全英文界面对于一些同学来说还是比较难以理解的，希望很快我们中文团队有人会出中文包 ，同样的原因，设置过多，必然会对速度有些影响。所以个人建议，对代码比较熟悉的同学，可以根据这个插件的思想，挑选自己需要的选项来确定显示的广告。

就说那么多，喜欢的同学到这里下载。这里还有更详细的介绍。

WordPress简单安全设置 第6篇

关于第二点以后详细给大家分析，今天只说伪WP的静态化设置，

文章地址静态化

在安装了Wordpress之后，BBQ对静态化的设置是这样的，首先在“设置”>“固定链接”设置全局链接结构为：“自定义： /%postname%.html”

%postname%表示文章名称，为了让搜索引擎看起来更像静态的html网页，它的后缀为.html。

所以当你写一篇文章的时候，默认的固定链接会变为 你的域名/新文章.html，这里我们要把汉字改为拼音/数字/英文字母/连接符。连接符包括下划线和横线，起单词分割的作用，主要是写给读者看的，但搜索引擎也会凭借此识别关键词，所以可以在地址中包含关键词，起到SEO的效果。

“最标准的命名：让读者一看地址就明白且容易记忆，最好包含关键词，

”

我知道很多人更习惯域名/分类名称/文章名称.html这样的链接形式，但在WP网站里，尤其是大多数中小网站(比如个人博客)里，在链接中加入分类名称并不是最明智的做法，因为万一当我们需要重写分类名甚至删除分类的时候，所有含有分类名称的链接将会作废，网站产生太多的404死链对用户以及搜索引擎都是很糟糕的事情，所以，如非必要，我都是主域名后面紧跟文章名称，这样可以保证一个扁平的链接结构，便于蜘蛛的抓取。

去掉默认的category

WordPress目前的分类地址会默认带有category这个单词，这会增加网站层级深度，不利于搜索引擎抓取内容，所以强烈建议去掉。去掉catagory很简单，只需要在插件区内搜索WP No Category Base 这款插件，启用后即可自动去掉category并且将原有分类地址301跳转到新的地址上去，不必担心重复页面等可能引起的SEO问题。

结语：

这两步设置非常简单，但无论对提升用户体验还是为了SEO都是十分必要的，这也是我安装完wordpress之后一般先设置好的两个步骤。如果你的 WP网站占用过多资源的话，还可以使用wordpress super cache等缓存插件进一步静态化网站，但对于网站的起步阶段，做好以上两步设置即可。

WordPress简单安全设置 第7篇

1、初始安装时尽量用c d e以外的字母做盘符（例如 F G H），这样最基本的一点可以减少邮件的攻击，（有些邮件中含有恶意代码可以共享你的C D E盘，而设为F G H被共享的几率就会小一些：）

2、使用NTFS分区格式进行分区（这个不用多说了吧）

3、添加一个合法用户，尽量不使用管理员账号登陆。这里告诉大家一个小技巧，把管理员账号的名称（ADMINISTRATOR）改成一个不起眼的名字。然后建立一个受限的

用户（名字设为admini），限制他的种种操作，并设置繁杂的密码,这样……不用说了吧（当别人不断的尝试入侵你的电脑时，你可以很快的发觉并锁定目标：）

4、使用自动更新功能

5、关闭ipc＄－－－有很多方法，这里我告诉大家一种简单的方法。我的电脑点脑－－

管理－服务和应用程序－－服务－Server－属性－启动类型－－已禁止－－确定

6、关闭NETBIOS后门,有很多方法（例如改写注册表），这里我告诉大家一种简单的方法网上邻居 －本地连接 －属性 －TCP／IP－属性－高级－WINS－禁用NETBIOS

7、关闭其他共享，刚刚安装完WINXP时，在命令提示符下输入NET SHARE

会显示你的机器的全部共享（C＄ D＄ E＄ ADMIN＄），这时要用

net share *＄ ／del 来关闭共享，

（*代表被共享的盘符）

8、使用internet连接防火墙-- 控制面板-选择“网络和internet连接“ 选择网络连接并打开--选择所要保护的拨号、局域网或高速internet连接然后在窗口左边的“网络任务“下，选择“更改次连接的设置“。在属性上选择高级选择“通过限制或阻止internet上对此计算机的访问来保护我的计算机和网络“

9、为自己的管理员账号设置一个强大的密码。

二网络

没什么特别的，经常打补丁，升级病毒库。

有一点就是设置好防火墙的ip规则（例如，禁止别人ping你，禁止IGMP攻击，禁止与外部的udp低端口通讯，禁止别人连接低端口，禁止访问本地机的共享资源………………凡是认为对自己有害的都禁止！！ ：）

WordPress简单安全设置 第8篇

苹果当前也越来越重视 Apple ID 账号的安全问题，当前要申请注册 Apple ID 账号时，都必须要填写三个安全提示问题，用于后期密码的重置。所以在当下让自己的 Apple ID 账号变得更加安全已经是刻不容缓的事情。个人建议大家为自己的 Apple ID 账号开启二次验证功能，用当前苹果为大家提供的最强的安全措施来保护自己的账号。

Apple ID 的二次验证是什么呢？二次验证其实就是为了防止密码被泄露时，他人恶意登录我们的账号，它由三个要素组成，那就是账号密码、受信任的设备以及恢复密钥（如图1）。当我们开通了二次验证安全功能以后，无论是登录 Apple ID 的管理页面，还是登录 iCloud 页面，抑或是想要更改密码的话，都必须要拿到其中两项才可以完成操作。

我当前的 Apple ID 开通了二次验证密码，在苹果官网账号管理页面用账号和密码登录以后，它会要求我选择在之前开通二次验证时所添加的受信设备来验证身份（如图2）。大家试想一下，如果此时我的 Apple ID 密码被他人盗取，并且他想要登录管理页面更改我的密码或其他信息，由于他没有这些受信设备，也没有恢复密钥，结果就是他在只有我的账号密码的情况下是不能完成任何操作的。

当我们选择受信设备以后，在设备（手机短信、iPhone、iPad）上显示四位数字随机密码（如图3）。

接下来在登录页面输入从受信设备得到的验证码，才可以顺利登录（如图4）。

之前说到，二次验证由三个要素组成，如果之前添加的受信设备也不在身旁的话，你还可以使用“恢复密码”来登录（如图5）。

同样的，当我们登录 iCloud 网页版时，也会需要我们提供相应的受信设备验证才可以使用相应的功能。

尽管这些设置会让很多网友感到麻烦，但都是非常重要的，这些安全设置不仅可以妥善保护自己的Apple ID不被泄露，甚至可以在手机丢失的情况下定位找回手机，所以推荐苹果iPhone用户都尝试一下这些功能。

使用两步式验证时需要记住哪些事

两步式验证简化了流程并增强了账户的安全性。开启两步式验证后，只能使用密码、发送至你受信设备的验证码或恢复密钥来访问并管理你的账户，其他方法均不可行。只有你可以重设密码、管理受信任的设备或创建一个新的恢复密钥。Apple 支持人员可以帮助你解决其他服务问题，但无法代你更新或恢复这三项内容。

因此，在你使用两步式验证时，你必须做到：1.记住密码；2.确保受信设备安全；3.妥善保存恢复密钥。

如果你同时失去上述三项内容中两项的访问权限，你的 Apple ID 将被永久锁定。

如果我丢失了恢复密钥该怎么办

如果你丢失了恢复密钥，可以随时替换原密钥，方法如下：

前往“我的 Apple ID”，选择“管理你的 Apple ID”并通过密码和受信设备登录；选择“密码和账户安全”，在“恢复密钥”下，选择“更换丢失的密钥”。

WordPress简单安全设置 第9篇

于是乎，这篇文章就诞生啦!

其实很简单，如果你设置了网站关键字的话(手动添加)，我已经把代码整理好了

步骤1 ：打直接修改源文件(header.php)也好，或者登录后台修改：外观-编辑-选择修改(顶部)header.php文件。

找到代码：(作用：设置关键字)

替换为：

找到代码：(作用：设置描述)

替换为：

步骤2 ：点击“更新文件”保存设置，

WordPress简单安全设置 第10篇

相信很多wordpress博主都在寻找一种方法让博文新评论通过短信形式发送到博主的手机上,这样的话比邮件通知可方便多了,毕竟大家大部分时间不在电脑前嘛,后者说用手机查看邮件的确很费力,今天就介绍两种很简单的方法去实现免费的wordpress评论回复短信通知.

第一招:评论邮件通知插件+139邮箱

首先在你的wordpress装上评论回复邮件通知的插件,比如非常着名的插件Subscribe to Comments、Thread Comment(前者新评论通知,后者评论回复通知),然后在后台自定义邮件标题,如下图所示

注意:邮件标题越短越好,以我上图用Thread Comment为例[pc_author]:[pc_content]( [postname]) ,即邮件标题为评论者名字:评论内容(被评论的博文标题),如果你觉得标题还太长,可以把 [postname]去掉,标题的设置很关键!换了其他的插件也一样.

接着,开通你的139邮箱有免费版(mail.139.com).如果你已经开通139邮箱,如下图稍微设定一下短信通知的参数即可(其实下图根本没设置,哈哈).

最后设置邮件通知的邮箱为你的139邮箱(即wordpress的管理员邮箱),完成.(插件设置就不展开了)

WordPress简单安全设置 第11篇

2、所有盘符根目录只给system和Administrator的权限，其他的删除。

3、将所有磁盘格式转换为NTFS格式。

命令：convert c:/fs:ntfsc:代表C盘，其他盘类推。WIN08 r2 C盘一定是ntfs格式的，不然不能安装系统

4、开启Windows Web Server 2008 R2自带的高级防火墙。

默认已经开启。

5、安装必要的杀毒软件如mcafee，安装一款ARP防火墙，安天ARP好像不错。略。

6、设置屏幕屏保护。

7、关闭光盘和磁盘的自动播放功能。

8、删除系统默认共享。

命令：net share c$ /del这种方式下次启动后还是会出现，不彻底。也可以做成一个批处理文件，然后设置开机自动执动这个批处理。但是还是推荐下面的方法，直修改注册表的方法。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters下面新建AutoShareServer,值为0 。。重启一下，测试。已经永久生效了。

9、重命Administrator和Guest帐户,密码必须复杂。GUEST用户我们可以复制一段文本作为密码，你说这个密码谁能破。。。。也只有自己了。...

重命名管理员用户组Administrators。

10、创建一个陷阱用户Administrator，权限最低。

上面二步重命名最好放在安装IIS和SQL之前做好，那我这里就不演示了。

11、本地策略——>审核策略

审核策略更改 成功 失败

审核登录事件 成功 失败

审核对象访问 失败

审核过程跟踪 无审核

审核目录服务访问 失败

审核特权使用 失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

12、本地策略——>用户权限分配

关闭系统：只有Administrators 组、其它的全部删除，

管理模板 > 系统 显示“关闭事件跟踪程序”更改为已禁用。这个看大家喜欢。

13、本地策略——>安全选项

交互式登陆：不显示最后的用户名 启用

网络访问：不允许SAM 帐户和共享的匿名枚举 启用

网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用

网络访问：可远程访问的注册表路径 全部删除

网络访问：可远程访问的注册表路径和子路径 全部删除

14、禁止dump file 的产生。

系统属性>高级>启动和故障恢复把 写入调试信息 改成“无”

15、禁用不必要的服务。

TCP/IP NetBIOS Helper

Server

Distributed Link Tracking Client

Print Spooler

Remote Registry

Workstation

16、站点方件夹安全属性设置

删除C: inetpub 目录。删不了，不研究了。把权限最低。。。禁用或删除默认站点。我这里不删除了。停止即可。一般给站点目录权限为：

System 完全控制

Administrator 完全控制

Users 读

IIS_Iusrs 读、写

在IIS7 中删除不常用的映射 建立站点试一下。一定要选到程序所在的目录，这里是www.postcha.com目录，如果只选择到wwwroot目录的话，站点就变成子目录或虚拟目录安装了，比较麻烦。所以一定要选择站点文件所在的目录，填上主机头。因为我们是在虚拟机上测试，所以对hosts文件修改一下，模拟用域名访问。真实环境中，不需要修改hosts文件，直接解释域名到主机就行。目录权限不够，这个下个教程继续说明。至少，我们的页面已经正常了。

17、禁用IPV6。看操作。

WordPress简单安全设置 第12篇

双倍带宽的链路聚合

链路聚合是指将两条或多条物理以太网链路聚合成一条逻辑链路。所以，如果聚合两个1Gb/s端口，就能获得2GB/s的总聚合带宽（图1）。聚合带宽和物理带宽并不完全相同，它是通过一种负载均衡方式来实现的。在用户需要高性能局域网性能的时候很有帮助，而局域网内如果有NAS则更是如此。比如说我们在原本千兆（1Gb/s）网络下PC和NAS之间的数据传输速度只能达到100MB/s左右，在链路聚合的方式下多任务传输速度可以突破200MB/s，这其实是一个倍增。

链路聚合原本只是一种弹性网络，而不是改变了总的可用吞吐量。比如说如果你通过一条2Gb聚合链路将文件从一台PC传输到另一台PC，就会发现总的传输速率最高为1Gb/s。然而如果开始传输两个文件，会看到聚合带宽带来的好处。简而言之，链路聚合增加了带宽，但并不提升最高速度，但如果你在使用有多个以太网端口的NAS，NAS就能支持链路聚合，速度的提升是显而易见的。

目前家用的局域网环境不论是线缆还是网卡多数都停留在1Gb/s的水平，如果你想要真正的更高吞吐量改用更高的带宽比如10Gb/s网卡，但对于大多数家庭用户万兆网卡是不太可能的。就算我们使用普通单千兆网卡主板，通过安装外接网卡来增添一个网络端口就能实现效果。

链路聚合准备工作

首先你的PC要有两个以太网端口，想要连接的任何设备同样要有至少两个端口。除了双千兆（或一集成一独立）网卡的主板外，还需要一个支持链路聚合（LACP或802.1ad等）的路由器。遗憾的是很多家用路由器不支持链路聚合，选择时要注意路由器的具体参数，或者干脆选择一个支持链路聚合的交换机。

除了硬件方面的要求，还需要一款支持链路聚合的操作系统。我们目前广泛使用的Windows 7并没有内置的链路聚合功能，一般微软要求我们使用Windows Server，但其实Windows 8.1和Windows 10已经提供支持了。其实如果操作系统不支持，可以考虑使用厂商提供的具有链路聚合功能的驱动程序，比如英特尔PROSet工具。另外，操作系统Linux和OS X都有内置的链路聚合功能。

链路聚合网络配置

首先在测试中我们选用了一块双端口网卡，实际上如果用户的主板拥有双网卡可以省略这一步。由于部分品牌之间的独立网卡和普通主板中的单网卡可能会有一些网络之间的不兼容，如果想避免麻烦，可以直接选用这类双接口网卡。

之后就是设置交换机了，如果我们拥有一个支持链路聚合的路由器，直接去设置路由器即可。支持的标志是设备拥有管理功能，允许我们可以绑定单个端口。网件ProSafe XS708E随带的一个实用工具允许绑定特定端口，界面具体取决于使用什么样的路由器或者交换机。比如网件R8500以上级别的路由器自带链路聚合功能，界面采用WEB方式管理，链路汇聚的设置可以说是相当方便（图2、图3）。

链路聚合设置时分为静态和动态，分别是Static和LACP，简单解释，静态聚合就是由用户手工配置，不允许系统自动添加或删除汇聚成员中的端口。而动态聚合系统自动创建或删除，成员内端口的添加和删除是协议自动完成的。只要速率和双工属性相同、连接到同一个设备、有相同基本配置的端口，就能被动态汇聚在一起，之前我们说过尽量选用同一种网卡就是为了动态聚合的。

Windows设置过程

如果在Windows中设置，要注意家用版本只有从Windows 8.1开始到目前的Windows 10才支持网卡绑定功能，或者服务器版本Windows Server。以Windows 10专业版为例，在搜索中输入PowerShell，右键用管理员权限启动，打开一个DOS界面，使用“Get-BetAdapter”命令找到我们的网卡（图4），用“New-NetLbfoTeam”命令创建网卡组。不使用交换机完整的命令行（图5）是“New-NetLbfoTeam （自填网卡组名称）-teamingMode SwitchIndependent”，而使用有链路聚合功能交换机时后缀要改为“-teamingMode Static”或者“-teamingMode LACP”。确定之后根据系统提示输入两个网口的名称，在网络界面就可以看到创建的网卡组了（图6）。

Windows Server的设置方法完全不同，以Windows Server 2012 R2为例，打开服务器管理器单击上面的本地服务器，会看到一个名为“网卡绑定”NIC Teaming的选项（图7）。点击“禁用”选项你会看到绑定配置器，两个网卡接口都已显示在适配器和接口下面（图8）。现在选择这两个接口，右键选择绑定新接口，在弹出的窗口中你会看到一个字段，为新的逻辑接口命名，单击确定（图9）。为了获得最大的兼容性，选择绑定模式Teaming Mode下面的“与交换机无关”（Switch Independent）。一旦完成这步，在网络界面会看到刚命名的由两个物理接口组成的逻辑接口。如果一切正常，你的两路物理连接都会显示活动状态，你可以在下面看到传输细节。可以说Windows Server版本就是家用Windows中没有的图形窗口界面方式，比起家用版本的操作要直观得多（图10）。

OS X设置过程

在OS X中设置链路聚合要简单一点，不需要特殊工具或第三方驱动程序，功能被很好地内置到默认的网络偏好设置中。打开系统偏好设置进入网络选项，点击设置齿轮图标选择管理虚拟接口（Manage Virtual Interfaces）（图11），选择新建链路聚合（New Link Aggregate）（图12）。在弹出的物理接口列表中选择想要绑定的那些接口，勾选后命名并创建（图13）。

WordPress简单安全设置 第13篇

现在，就有一个蠕虫病毒采用老办法对旧版本的 WordPress 进行攻击。这个蠕虫，与以往其他病毒一样，非常聪明：它注册一个帐户，利用安全上的漏洞(此漏洞在今年早些时候已经修复)，使得评估代码可以通过永久链接结果直接执行，将它自己成为管理员，然后在你查看用户页面的时候使用 JS 脚本隐藏它自己，并在清理干净所流痕迹后安静离开，让你几乎无法察觉它插入到你的旧博客文章中的垃圾和恶意软件。

手段新颖，但策略老套。这个蠕虫病毒在“清理”阶段露出了手脚：它并不能将自己隐藏好，博主因此注意到他的链接遭到破坏，于是进一步查看并发现了其他的危害。老的蠕虫病毒可能会做一些孩子气的事情，比如搞坏你的网站外观;新的蠕虫则比较安静，只有当他们搞砸了，或者 Google 提示你的网站含有病毒或者恶意软件的时候，你才会注意到。

我说这些并不是要恐吓你，而是提醒你之前发生的事情，之后还有可能会发生。

一切防范于未然。升级并不麻烦，并且 WordPress 社区已经做到了实现一键升级。相反，修复被黑的网站则非常苦难。升级是给你吃维生素，修复被黑站点是做心脏修复手术。

WordPress 的当前版本，2.8.4，可以免疫于该病毒。(之前的版本也一样)如果你曾考虑过升级但尚未动手，现在正是时候。如果你已经升级到最新版本，请检查一下你的朋友的博客，或者你所阅读的博客，他们是否需要你的帮助。一切防范于未然。

每当蠕虫病毒成灾，每个人都变成了安全专家，并叫卖他们的三种建议：狗皮膏药，俱乐部方案和真正的解决方案。你可能会马上选择狗皮膏药，因为这个办法最简单。这种方案总是说，隐藏你的 WordPress 版本信息就万事大吉。哈哈，病毒的开发者也这么认为。病毒的 1.0 版本或许会检查版本号，2.0 就可以测试版本了，版本号可以去死了。

第二个建议是俱乐部方案：要阐明这个问题，我这里引用 Mark Pilgrims 7年前关于垃圾评论的文章，那时候 WordPress 还没有出现：

真正有趣的是，从博弈论的角度讲，他们都是俱乐部方案，而不是 Lojack 方案(WPChina译注：LoJack 是一种著名的汽车防盗系统，参考百度百科：LoJack)，

管理资料

有两种办法可以防止你的汽车被偷：俱乐部(盾牌、车辆报警器、或其他类似的东西)，和 LoJack。俱乐部方案并不能防护下决心偷你的汽车的贼(钻锁、取掉方向盘非常容易)。但它可以有效防护想要偷一俩汽车(不一定非偷你的那俩)，因为贼在匆忙之间，总是会攻击最弱的目标，摘树上最低的水果。只要不是人人都拥有它，俱乐部方案就有效;但如果人人都拥有，偷车贼偷取任何一辆汽车的难度都相同，他们就会根据其他因素进行考虑，你的汽车被偷的概率就和别人一样了。俱乐部方案并不能震慑盗贼，而只是是他做了偏转。

俱乐部博客解决方案可能会很简单(比如增加一个 .htaccess 文件)，也可能会异常复杂(比如双认证)，并且能有效工作，尤其是针对已经公开的漏洞。俱乐部方案能有效工作，比如使用健壮或者足够复杂的登陆密码，没有人会反对这些。(另外一个俱乐部方案是使用用户较少的软件，就像软件声称它更加完美、安全。这也是为什么 BeOS 比 Linux 更安全的原因，啊哈。)

在汽车世界中，如果有人能将汽车商店全部整车偷走，那么俱乐部方案就毫无意义了。俱乐部的制造商值得幸庆，这种事情从未发生。然而，在网上和软件行业，这种事情却每日都有。真正有用的，只有一个真正的解决方案。我唯一能够承诺保持你的博客安全性的办法是，在现在和未来不断保持升级。

WordPress 社区每天都有数百人在阅读它的核心代码、审查代码、更新代码，并且关注你的博客安全，因此我们每隔数周发布更新，来保证你的博客远离坏人，尽管这让人看起来似乎我们的软件并不完美。我不是千里眼，我无法预测将来会有什么样的垃圾评论发布者、、骇客、骗子等会拜访你的博客，但我们已经会尽一切努力，让 WordPress 确保安全。我们已经对核心代码和一键升级插件做了升级。如果我们发现被破坏，我们会发布修复。请务必升级，这是我们唯一可以互相帮助的途径。

原文：How to Keep WordPress Secure

WordPress简单安全设置 第14篇

WordPress WordPress 2.2.1

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25161

WordPress是一款免费的论坛Blog系统，

WordPress处理用户提交的数据时存在多个输入验证漏洞，远程攻击者可能利用这些漏洞执行跨站脚本、SQL注入或收集敏感信息。

WordPress的themes.php、options.php、link-import.php、upload.php脚本实现存在跨站脚本执行漏洞，options.php脚本还存在SQL注入和信息泄露漏洞，

<*链接：mybeni.rootzilla.de/mybeNi/2007/wordpress_zeroday_vulnerability_roundhouse_kick_and_why_i_nea

*>

建议：

--------------------------------------------------------------------------------

厂商补丁：

WordPress

---------

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

wordpress.org/

不用动画设置 多画面切换更简单 第15篇

实现多画面切换注解效果

打开PowerPoint 2010，插入一张天平图片，然后依次单击“插入/对象/Microsoft PowerPoint 2007-2003演示文稿”，在当前幻灯片上将会插入一张空白幻灯片，在此幻灯片中输入天平某个部件的文字说明（如图1）。

文字说明输入完成后，缩小此幻灯片，并拖动位置至天平对应部件；按照同样的步骤，在天平其它部件位置处插入文字说明演示文稿（如图2）。

下面我们来看演示效果。播放幻灯片，鼠标指针移向天平中插入文字说明的位置，指针变成手状，此时单击鼠标，将全屏播放插入的文字说明幻灯片。再次单击鼠标，返回到原幻灯片，其它文字说明的幻灯也是通过这种方法进行播放。需要进入下一张幻灯片的话，鼠标单击其它空白处即可，也可通过转动滚轮实现。