如果你使用WordPress作为博客或网站背后的平台，你可能知道，不仅在软件本身，而且在插件中也存在很多安全漏洞。针对这些问题，我们将研究如何通过锁定管理文件夹来防止黑客攻击。

apacheweb服务器有一个内置机制，允许您为文件夹分配所需的密码，该密码与WordPress密码是分开的。

快速博客安全提示

安全性非常重要，我觉得有必要在这里提供一些额外的提示。这并不是一个完整的列表，但你还是应该看看。

• 确保您运行的是最新版本的WordPress和所有插件。
• 你应该考虑订阅博客安全.net，一个试图报道博客平台安全新闻的博客。
• 确保您的文件权限是根据WordPress指南正确设置的。
• 确保所有帐户都使用了严格的密码。
• 确保您正在备份整个WordPress安装和数据库。
• 使用.htaccess规则锁定您的管理文件夹（此处介绍）

手动为wp admin目录分配密码

在wp管理目录中创建名为.htaccess的文件，并添加以下内容：

AuthName “Restricted Area” AuthType Basic AuthUserFile /var/full/web/path/.htpasswd AuthGroupFile /dev/null require valid-user

您需要调整AuthUserFile行以使用我们将在下一步中创建的.htpasswd文件的完整路径。在shell提示符下使用pwd命令可以找到完整路径。

接下来需要使用htpasswd命令行实用程序来创建密码文件。我还建议您使用与WordPress安装不同的用户帐户和密码。

$ htpasswd -c .htpasswd myusername New password: Re-type new password: Adding password for user myusername

您需要确保您位于AuthUserFile指定的目录中，并将“myusername”更改为您的站点唯一的名称。这将创建一个包含以下内容的文件：

myusername:aJztXHCknKJ3.

此时，当您导航到WordPress管理面板时，应该提示您输入密码。您会注意到，“Restricted Area”是.htaccess文件中的文本，可以更改为其他任何内容。

如果出现服务器错误，则应该删除.htaccess文件并重新开始。

最后，您应该确保使用chmod命令删除对这两个文件的写入权限，作为另一个安全层。

chmod 444 .htaccess

chmod 444 .htpasswd

.htaccess密码文件生成器

Dynamicdrive提供了一个很好的工具，它可以为您创建文件。如果您没有对服务器的shell访问权限，这尤其有用，因为您可以通过FTP/SFTP客户端上传文件。

http://tools.dynamicdrive.com/password/

您仍应确保在上载文件后删除写访问权限。