本节主要讲WordPress如何防止黑客上传木马并对网站挂马，至于WordPress的安装则不在本节讲述范围！
本节的WordPress系统已经安装，网址为：http://localhost/，网站安装目录为：
D:\wwwroot\WordPress\web

需要注意的是：
·PHP5.3以前的版本（如5.2.17）对权限需求不一样，本节主要针对PHP5.3及其以后版本。
·本节适用于服务器或云主机；如果您使用的是虚拟主机，则无法使用以下方法解决安全问题；

下面我们开始做WordPress安全设置。

1、创建网站运行账号：hws_WordPress
这个账号只能属于Guests组，密码请不要太过简单，否则容易成为黑客利用的漏洞！

2、设置WordPress网站目录权限，只能拥有以下权限：
Administrators和SYSTEM：完全控制权限
IIS_IUSRS和hws_WordPress：读取权限
hws_WordPress：遍历文件夹/执行文件（只应用于：此文件夹和子文件夹）

3、增加子目录权限，以下都是只增加hws_WordPress账号的权限，如果您的网站安装有插件，插件需要对特定的目录有读写权限的话请一并加上。
wp-content/uploads：写、删除
(注意：如果您的网站还需要添加插件、修改主题等，请直接给wp-content文件夹加上写权限，处理完之后去掉写、删除权限即可)

4、设置IIS
网站的匿名账户使用：hws_WordPress
去掉wp-content/uploads目录的脚本执行权限

5、测试网站
网站访问正常，后台上传图片、文件正常。

至此，WordPress的安全设置就已经完成；经过设置后，虽然黑客也可能上传木马，但却无法运行起来；已经很大程度提升了网站安全。
如果能再配合安全辅助工具，安全级别还能继续提升。