WordPress 在安装时有一个缺憾，就是不能更改默认的登录名，这样很容易被人利用对博客的安全造成危害，有关这一点我在十招教你打造一个安全的博客一文中也有提到，并且给出了解决方法，当时建议大家新建一个新的用户并设置为最高的管理权限，以替代原有的 admin 。

其实，还有一个更为直接的方法可以帮助我们规避默认登录名带来的风险，就是通过修改数据库来替换默认的登录名。不要一提到数据库就皱眉头，其实这并不困难。

登录数据库管理系统 phpMyAdmin （如果你不知道为何物，请联系服务器提供商咨询）,在博客的数据库中找到 wp-users 这个表，你博客所有用户的数据就存储在这里。

点击 wp-users 后面的“浏览”按钮，找到 admin 所在的目录。如果博客只有一个用户，那么在 wp-users 表内只有一条记录，修改它即可；如果你的博客有很多的用户，请找到 admin 这条记录进行修改。

找到默认登录名所在的记录后，点击“编辑”按钮，你将看到如上图所示的数据表格，修改用冒泡标记的数据，将 admin 更改成你想要的登录名。

修改完毕后，保存修改。好啦，你的博客默认登录名已经修改完毕。

三两饭在之前的文章中曾经提到过 WordPress 的安全问题，并提出了十条安全建议。其中有一条是有关于 WordPress 文件权限的，那么到底哪些文件和文件夹需要将权限设置为只读，怎么设置？

需要设置只读权限的文件和文件夹：

wp-config.php 是肯定需要设置的，它包含了你的数据库信息非常重要；

index.php 博客主索引文件，不是一般的重要；

wp-setting.php 你的 wordpress 设置文件，非常重要；

Theme directory 目录也需要设置为已读，防止别人篡改你的主题文件。

将文件（夹）权限设置为只读文件：

可能还是有很多朋友不太明白文件权限，所谓文件权限通常表现为一个三位的数字，比如777就表示最高权限，任何人可以对该文件做任何想做的事。

那么777是怎么算出来的呢？通常有三种用户，他们分别是 owner 、 group 、 others  。每种用户类型有三种权限，分别为 read 、 write 、 execute 。

系统会为 read 权限标记4， write 权限标记2， execute 权限标记1，所以三种权限相加就是7（4+2+1=7）。777就代表 owner 、 group 、 others 三种用户都具有最高权限。

所以，为了别人不会任意篡改你的程序文件，将重要的文件设置成只读，那么就是444了。

我们都知道，在 Google 的搜索结果中有时会看到某网站被标记了“此网站含有恶意软件…”这样的标签，这意味着通过 Google 带来的流量将几乎变为零，显然这不是我们想要的。作为网站管理者如何让 Google 去掉恶意软件标记？

通常网站管理员会去 Google 网站管理员支持论坛申诉，但这往往会花费很长时间，并且很多站长并不知道自己网站哪里出现了恶意软件。

为了解决这个问题，网站管理员可以使用 Google 的站长工具重新评估感染恶意软件的网站。通过对搜索结果加上”恶意软件“标记，或是在站长工具里对你网站的一个总的概括，你可以迅速发现你的网站感染了恶意软件。

对于已经感染了恶意软件的网站， Google 现在简化了审查程序，网站管理员可以通过下面的方法尽快去掉“恶意软件”标签：

1、在站长工具里看一看你的感染了恶意软件的 URL 的样本。

2、根据 StopBadware.org 网站的安全提示对你的网站作出必要的改动。

3、使用站长工具要求 Google 重新评估你的网站（ Google 会检查你的网站还有没有恶意软件）。

如果 Google 觉得你的网站仍是有害的，会提供你的危险 URL 的最新名单。如果确认你的网站已经是正常了，他们会在24小时以内清除关于你的网站有恶意软件的信息。

WordPress 功能的确很强大，但是 WordPress 在安全防护方面确实相当脆弱。尤其是现在 WordPress 正变得越来越流行的今天，树大招风这一点看看 Windows 就知道了，是时候为你的 WordPress 博客加上几道安全枷锁。

1、保持 WordPress 程序最新，且版本正规

WordPress 每次更新都会修正一些和安全有关的 bugs ，所以尽量保持你的 WordPress 程序最新，这样可以避免很多安全问题。

WordPress 由于是开源的博客程序，不可避免会有很多的衍生发行版或者汉化版本，由于作者的水平参差不齐，难免会有不安全的地方，强烈建议选择值得信赖的 WordPress 程序使用。

2、使用安全的 WP 主题和 WP 插件

和 WordPress 主程序一样，尽量选择安全的 WordPress Theme 和高质量的 WordPress Plugin 。使用插件时尽量做到够用就好，和 WordPress 程序的团队开发不同，插件的开发者来自世界各地且几乎为个人开发，存在安全问题在所难免，尽量使用高质量的插件（大家都用且没有问题的插件）。

3、使用数据库备份插件备份你的数据

数据很重要，所以要定期备份你的博客数据。不管你是手动备份数据库还是使用插件自动备份，总之你应该做到至少每周备份一下自己的博客数据。

4、使用插件扩展 WordPress 的安全性能

已经说过 WordPress 自身的安全防护相当脆弱，所以我们可以通过使用插件扩展 WordPress 的安全性能。下面的两个插件我认为非常不错：

WP Security Scan
作用：检查你站点的安全问题：密码，文件权限，数据库安全性，wp 版本隐藏等功能。

Login Lockdown plugin
作用：通过限制同一 IP 的登录失败次数，防止你的 Wordpress 登录密码被暴力破解。

5、限制 WordPress 用户注册

这一条并不适合每一个博客，但是如果你的博客并不需要开放注册功能的话，请在后台关闭 WordPress 注册功能。方法：options > general > general options > uncheck anyone can register 。如果你坚持开放用户注册，请根据实际需要限制新注册用户的权限。

6、修改 WordPress 默认登录名和用户密码

WordPress 安装时使用 admin 作为默认的管理员用户名，建议大家新建一个新的用户并设置为最高的管理权限，以替代原有的 admin 。

将你的密码设置成非常复杂的形式，以防止暴力破解或者被猜测出来。

7、修改 WordPress 默认的数据库前缀

和默认用户名一样，WordPress 默认安装时使用 WP 作为默认的数据库前缀，强烈建议安装时修改之。如果你嫌手动修改麻烦，推荐使用 WP Prefix Table Changer 这个插件。

8、隐藏 WordPress 版本信息

WordPress 默认主题首页都有版本信息，黑客们会了解你使用的版本后找相应的漏洞。隐藏的方法是在后台主题修改里删掉下面的代码：

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>”/>

9、将重要的文件和文件夹设置成只读

建议把 config.php 的权限设置为只读，否则别人可以通过非法获取并修改你的 config.php 文件，轻易把你的 WordPress 盗去。当然重要的文件夹也要设置成只读，还记得艳照门事件么，呵呵…

0、保持电脑安全，只在安全的地方上网

这一条貌似和 WordPress 的安全没有什么关系，但是切记保持电脑安全并且只在安全的地方上网，这不但对你的博客安全有保证，对你的银行帐号、用户信息、私人文件等同样重要。

话说昨天，也就是 17 号，瑞星公司一阵抽风决定向用户免费发放可以使用半年的瑞星杀毒软件 2008 半年版。名为回馈广大用户长期对瑞星公司的支持，在短期内遏制木马病毒的疫情，实为营销自己，招揽用户。

但是不管怎么说，对于我们这些穷网民，有免费的就用吧。据说数量有限，欲用可要从速。

这里下载瑞星杀毒软件 2008 半年版