昨天在测试一款插件，本人就是看不惯英文的东西，见到英文的东西都想把它翻译成中文版，wordpress插件也是如此，于是就把那个limit-login-attempt汉化。刚汉化到一半的时候，电脑屏幕突然跳出wp后台登陆超时提醒，要求重新登陆，当我重新登陆的时候发现登陆不了了，当时以为有人破解了我的后台密码，把密码修改了。因为我的wp后台一直有个傻.逼在尝试登陆，已经被limit-login-attempt插件锁定了几千个ip了，它还不折不扣。那时候第一想到的就是莫非是被暴.力破解了，于是赶紧用ftp把wp-config.php重命名，这样无论是谁都访问不了了，后来才想到或许是limit-login-attempt捣的鬼，也许我在汉化的时候，哪里出错了导致插件自锁。于是用ftp把limit-login-attempt插件目录删除后重新登陆，果然就可以登陆了，登陆后进台重装limit-login-attempt插件。这一番折腾后让我对wp安全有更详细的认知，于是分享些wp安全常识。

wp安装后的安装文件一定要删除，具体路径在/wp-admin/install.php;

管理员账号不要使用admin，因为黑客破解都是用admin尝试破解的，先用admin登进后台创建一个管理员账户名，越长越好，比如：jkkehefwhbefunjhwfwejfbjhdwbfeuywfuw，然后把密码设成：kjhefwhj~hwiu!fhw+iuh-f663wi%uhf@jweh598fwj.hwi*uh1fewuj/hfe#uhf然后退出admin用jkkehefwhbefunjhwfwejfbjhdwbfeuywfuw登陆后台把admin用户删除，这样黑客就算用再智能的脚本机器破解破到死也破不完（够狠吧~），把用户名和密码存储在自己的电脑上或者浏览器书签上。登陆的时候只需要ctrl+c和ctrl+v就可以了。

很多人会说这么复杂的用户名和密码若要是自己丢失了怎么办？这里有个密码修改神器

，下载下来，上传到自己网站的根目录，通过访问http://你的域名/rt.php即可修改密码。修改的参数请先打开rt.php修改成你自己的信息，后台用户名忘记了可以到phpmyadmin里面的wp_users表里面找，

/*你的数据库服务器地址，一般保持默认*/$servername = "localhost"; /*数据库名称*/$phpMyadminName = "hjdjew_jhbws"; /*数据库用户名*/$phpMyadminUser = "yayaya"; /*数据库密码*/$phpMyadminKey = "56426989588335659695968"; /*wordpress数据表格前缀*/$QZ = "wp_"; /*你要重置新密码的用户名*/$wordpress_User = "admin"; /*你要重置的用户新密码*/$NewKey = "jhgfwwewrrqw";

除了这种方法还可以用wp默认找回密码功能，但默认找回密码容易出现问题，此方法是在默认找回密码不可用的时候使用的，比如我这次的默认找回密码就用不了。此方法是通用方法。