1、升级 WordPress 到最新版本

一般来说，新版本的 WordPress 安全性都会比老版本要好一些，并且解决了已知的各种安全性问题，特别当遇到重大的版本升级时，新版本可能会解决更 多的关键性问题。（例如以前的 2.6 老版本 WordPress 有remv.php重大漏洞，可能会导致遭受DDoS攻击，升级到最新2.7版本可解决这个问题）

2、隐藏WordPress版本

编辑你的 header.php 模板，将里面关于 WordPress 的版本信息都删除，这样黑客就无法通过查看源代码的防治得知你的 WordPress 有没有升级到最新版本。

3、更改 WordPress 用户名

每个黑客都知道 WordPress 的管理员用户是 admin，具有管理员权限，会攻击这个用户，那么你需要创建一个新用户，将其设置为管理员权限，然后删除老的 admin 帐号，这就能避免黑客猜测管理员的用户名。不过 2.9 过后就可以自己定义管理员帐号名字了。可是还是有很多人习惯用 admin 这个帐号。

4、更改WordPress用户密码

安装好 WordPress 后，系统会发送一个随机密码到你的信箱，修改这个密码，因为这个密码的长度只有6个字符，你要将密码修改为10个字符以上的复杂密码，并尽量使用字母、数字、符号相混合的密码。

5、防止WordPress目录显示

WordPress 会默认安装插件到/wp-content/plugins/目录下，通常情况下直接浏览这个目录会列出所有安装的插件名，这很糟糕， 因为黑客可以利用已知插件的漏洞进行攻击，因此可以创建一个空的 index.php 文件放到这个目录下，当然，修改 Apache 的 .htaccess 文件也可以起到相同的作用。

6、保护 wp-admin 文件夹

你可以通过限定IP地址访问 WordPress 管理员文件夹来进行保护，所有其他IP地址访问都返回禁止访问的信息，不过你也只能从一两个地方进行博客管理。另外，你需要放一个新的 .htaccess 文件到 wp-admin 目录下，防止根目录下的 .htaccess 文件被替换。也可以用 301 转向来把这个地址转变为你自己定义的地址。

7、针对搜索引擎的保护

很多 WordPress 系统文件不需要被搜索引擎索引，因此，修改你的 robots.txt 文件，增加一行 Disallow: /wp-*

8、安装 Login Lockdown 插件

这个插件可以记录失败的登录尝试的IP地址和时间，如果来自某一个 IP 地址的这种失败登录超过一定条件，那么系统将禁止这一 IP 地址继续尝试登录。

9、WordPress 数据库安全

数据表最好不要使用默认的 wp_ 开头，安装数据库备份插件，无论做了多少保护，你还是应该定期备份你的数据库，使用 WordPress Database Backup 等插件可以实现数据库的定期备份。

10、安装 WordPress Security Scan 插件

这个插件会自动按照以上的安全建议对你的 WordPress 进行扫描，查找存在的问题，使用较为简单。

除此之外还有很多方法。比如直接用 apache 的配置文件来关闭目录浏览这些。

(via:http://www.williamlong.info/archives/1617.html)

Memcached 是一种高性能的分布式内存对象缓存系统。在动态应用，Memcached 既能提高访问的速度，同时还减低了数据库的负载。

Danga Interactive 为提升 LiveJournal.com 的速度研发了 Memcached。目前，LiveJournal.com 每天已经在向一百万用户提供多达两千万次的页面访问。而这些，是由一个由 Web 服务器和数据库服务器组成的集群完成的。Memcached 几乎完全放弃了任何数据都从数据库读取的方式，同时，它还缩短了用户查看页面的速度、更好的资源分配方式，以及 Memcache 失效时对数据库的访问速度。

WordPress 和 Memcache

由于 WordPress 默认支持 Object Cache， 所以在 WordPress 实现 Memcached 就是使用 Memcached 把 WordPress 的 Object Cache 写到内存中去，下次直接从内存中读取。相比直接从数据库去读取数据，或者从 Object Cache 数据存到文件，然后从硬盘中读取，Memcached 有很大的速度优势。

Memcached 命中率

上图是我爱水煮鱼使用 Memcached 之后的缓存对象的命中率，可以看出命中率是非常高，接近 97%，基本上可以保证所有数据都是从能内存中取，所以使用 Memcached 进行缓存是非常有效的。

WordPress 如何启用 Memcached 缓存

1. 需要你的服务器支持，就是你的 PHP 需要安装上 Memcached 扩展。你可以通过 phpinfo() 这个 PHP 函数来检测。

2. 下载 WordPress Memcached 插件：http://wordpress.org/extend/plugins/memcached/。

3. 把下载的：object-cache.php 复制到 wp-content，注意不是 wp-content/plugins/。

4. WordPress 会自动检查在 wp-content 目录下是否有 object-cache.php 文件，如果有，直接调用它作为 WordPress 对象缓存机制。

(via:http://fairyfish.net/m/wordpress-memcached/)

不过 Apache 可以通过修改 .htaccess 文件来实现。

方法是在 .htaccess 添加如下代码即可。

<IfModule mod_rewrite.c>
RewriteRule ^login$ ./wp-login.php [NC,L]
</IfModule>

这个文件要放在站点根目录下面。而且这段代码不受更换域名影响的。

wopus.org 网站上受影响的主题有以下5款，请大家及时查看自己的主题是否存在类似问题。

Colossus

ZCool Like

PixLog

Zeta Theme

Tripress

使用这几个主题的兄弟就请注意一下。

这段恶意程序的特征如下：

functions.php 文件中如果存在这几个函数，就可能已经被恶意程序修改，请及时查找所有的主题文件，删除相关函数的代码。

_verify_isactivate_widgets 或者 _check_isactive_widget
_get_allwidgetscont
_prepare_widgets
__popular_posts

wopus.org 的反应速度很快的。那篇文章一发过一会就通过饭否联系上我了。不过我由于工作繁忙就没用即使回复了。先对 wopus.org 的朋友说声抱歉。

另外，本站的豆瓣小组地址为：http://www.douban.com/group/114072/

欢迎各位关注本人的朋友加入，并且一起讨论。

情况是这样的。由于我自己的本地环境上面的 WorePress 是开启了 DEBUG 调试模式了的。就发现下载的那个主题启用后报告有10多个变量没有检测到的警告。然后就没有管他。我就试着先注释掉那部分代码，却发现主题使用正常。然后我就把注释掉的代码处理掉了。

等我给他改完后却发现我自己本地环境的主题里面的WP 默认主题也有了相同的变量警告。我就开始怀疑了。然后就打开默认主题的主题函数文件，却看到了和那个主题里面的被我注释掉的代码复活了。

我开始意识到这是一个类似病毒东西。于是我简单的看了一下那段代码，这段代码的头部是扫描 WP 主题目录里面的全部主题的文件。扫描数据库的评论相关的表和字段，还有文章密码、文章摘要、文章内容这些内容。估计是给垃圾评论发布者用的了。

我就把这事写出来提个醒，各位在下载主题的时候要留个心眼儿了。建议都去WP主题目录下载好点了，至少 WP 官方会对主题的安全负责的。

那个代码为了避免被别人在此利用我做成图片贴上来了。代码如下：

PS: 360应该搞个清理这些的工具，呵呵

iStudio Theme 已经有半年没有更新了，主要是时间和精力都放在 iLost 上面去了。现在在准备 2.0 的版本更新了，那就先来说说 iStudio 2.0 准备更新的功能。

1. 完全重写HTML架构；
2. 文章可以设置是否必须登陆才能查看内容；
3. 文章发布后自动同步到微博；
4. 新的音频/视频播放器；
5. 新的 HTML5 交互体验，访客访问一次后记录填写的昵称等相关信息；
6. 嵌套式回复评论，不过以前的”@user: “形式的回复就去掉了；
7. 随机图片替换为页眉图片，不过依然内置9张页眉图片供选择；

暂时就这么多了，也许还会添加新的功能。iStudio 2.0 预计在 iLost 的 CMS 版发布后更新。

这个主题在 WP主题目录的下载次数已经快到 6万次了。感谢大家的厚爱。

下载了 WordPress 3.2 Beta2 来试用了一下，发现变化最大的就是后台界面的样式了。

新后台的样式里面的图标也更精致了。

Wordpress 3.2 后台界面

感觉和那个更改后台界面样式的插件 fluency admin 一样了。

fluency admin 这个插件的下载在这里

主要是昨天迁移数据的时候其他人的数据都是顺利的迁移到新的服务器上面了。唯独我自己的不能通过那个迁移工具迁移。我就只有自己动手了。其中折腾到了晚上很晚的时候。

那篇文章里面的 mysqldump 命令应该是这样才可以备份MySQL 数据库的：

mysqldump -u数据库用户名 -p数据库用户密码 数据库名字 | gzip > backupdb.sql.gz

比如：你的数据库名字为 wordpress ，数据库用户名为 wpdbuser ，数据库的密码为 wp123456。那么你要输入的命令就这样：

mysqldump -uwpdbuser -pwp123456 wordpress | gzip > backupdb.sql.gz

也就是 -u 这个参数和数据库的用户名之间是没有空格的。 -p 和密码之间也是一样。

不过这样式对数据库的备份文件做了 gzip 压缩备份。

看来网上的什么东东这些都要去验证啊。我再不会乱转文章了。要么就是自己去验证一下在转过来了。不过这个也许和 MySQL 的版本有关系。

PS：如果看到这篇文章那就是 DNS 已经解析成功了。

集成了一个去掉自动 Trackback 站点内部文章链接的插件。

添加可以在后台的查看到文章日志列表阅读数的一个小功能，需要和 WP-PostViews 插件配套使用。

新版的音频视频播放器将在下次集成进去。

下载在这里：iStudio Shortcode 1.1

此版本引入了全新设计的链接方式 —— 今后您可以以闪电般的速度将文字链接到站点中的其它文章或页面；添加了“管理工具条”功能，使用常用功能将只需点击一次鼠标；简洁的流程化的写作界面默认隐藏了极少用到的功能（在“页面选项”中可恢复它们），就算您是“新手”，也从此不必害怕了。3.1 版本还提供了新的蓝色后台配色方案。

开发者也有糖吃 —— “文章形式”功能让开发者为主题设计“微博”文章格式更加顺手；新内容管理系统（CMS）功能提供了用来显示自定义文章类型的归档页面支持；此版本还包含了全新的“网络管理员”、导入和导出系统的改造、分类法高级查询等功能。

3.1 版本的 WordPress 更像一个强大的内容管理系统了。只有想不到，没有做不到。

(via)

本人的所有站点已经更新为 WordPress 3.1 了。