移除登录页面里的错误信息

在你的主题的 functions.PHP 文件里添加一行代码，来移除登录错误信息。这样，黑客要进行暴力破解的时候，就不知道是用户名错了，还是密码错了。

add_filter('login_errors',create_function('$a',"return null;"));

保护 wp-config.php 文件

wp-config.php 文件里包含的有 wordpress 数据库的重要信息，如果该文件被暴露，再强壮的数据库密码也没有用。 因此，我们可以加一段代码，在 .htaccess 文件里，来保护 wp-config.php 文件：

# 保护 wp-config.php 文件

wp-config.php>

Order allow,deny

Deny from All

利用.htaccess拒绝spam机器人评论

大多数Spam根本不会去添写评论表单，而是直接读取wordpress程序核心文件wp-comments-post.PHP（评论）实现自动留言，所以很多评论安全机制图片验证、小学加减法、滑动解锁等防垃圾评并不起作用。

将下面代码添加到网站根目录的.htaccess文件中即可，把域名511yj.com修改为你的网址。

# BEGIN 屏蔽垃圾留言：屏蔽空referrer留言

RewriteEngine On

RewriteCond %{REQUEST_METHOD} POST

RewriteCond %{REQUEST_URI} .wp-comments-post.PHP*

RewriteCond %{HTTP_REFERER} !.*511yj.com* [OR]

RewriteCond %{HTTP_USER_AGENT} ^$

RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

# END 屏蔽垃圾留言：屏蔽空referrer留言