首先：删除那些777权限。只有在所有权冲突的情况下才需要此选项。尝试将PHP作为FastCGI运行–例如per。htaccess：

AddHandler php-cgi .php
# or
AddHandler php-fastcgi .php

为每个404请求设置通知邮件。你会惊讶于平均博客每天受到多少攻击。等等……我刚刚在GitHub上发布了404通知程序：

Plugin T5 404 Tools repository · Download latest version

另外，安装一个插件以防止密码猜测。我使用Login LockDown 锁定时间为45000分钟。

定期阅读日志文件。没有更好的方法可以获取所有关键信息。

还有一些插件可以检查所有文件的更改。我只是有一些问题：速度慢，信息误导性强，噪音太大。但如果你的网站没有那么多文件，这可能是一种选择。测试它。

更新关于文件权限的一个注意事项：通常您不希望任何人发送DELETE 或PUT 对您的站点的请求，尤其是当某些内容设置为777. ;)
将允许的请求方法限制为HEAD, GET 和POST, 将此添加到。htaccess：

<LimitExcept HEAD GET POST>
order deny,allow
deny from all
</LimitExcept>

我最近在Security Stack Exchange, 但我会在这里重复这一点。我认为这正是问题所在。

我最近发布了一个Wordpress插件，你可能会觉得它很有用。我称之为远见。可从Wordpress插件目录下载：

http://wordpress.org/extend/plugins/foresight/

（也是mirrored on github.)

该插件非常简单：当您以管理员身份登录时，它所做的只是将一个“Foresight”链接加载到侧栏的“Tools”部分。如果单击该链接，您将看到一系列带选项卡的iFrame，其中每个iFrame都显示在以下流行的漏洞追踪程序中发现的最新Wordpress漏洞：

• CVE
• CVE Details
• Exploit DB
• OSVDB
• Secunia
• Inj3ct0r

这个工具不是特别花哨什么的。（我认为它对于一个聪明的管理员来说是一个愚蠢的工具），因为它最终只是加载一堆iFrame。当你定期进行安全审查（每天、每周、每月-随便什么）时，我建议你加载并浏览漏洞，密切关注你使用的Wordpress核心或插件中的漏洞。如果您发现这样的漏洞，那么您可以就如何最好地继续进行做出明智的决定。

我把它命名为“预见”，因为它的目的是让你预见到在短期内你的博客可能会遭到什么样的攻击。因此，如果您在定期进行安全审查（甚至只是偶尔更频繁地进行审查）时密切关注它，您将比那些不关注漏洞追踪者的管理员更有优势。反过来，这将有希望阻止你成为“低垂的果实”（从黑客的角度来看），这对你博客的健康是一件好事。

在此代码中，无需放置头部：

<LimitExcept HEAD GET POST>
order deny,allow
deny from all
</LimitExcept>

HEAD由GET表示--请参阅文档http://httpd.apache.org/docs/2.0/mod/core.html#limit

此外，不需要order指令，因此最有效的方法是：

<LimitExcept GET POST>
deny from all
</LimitExcept>