玩wordpress博客空间的低胸们都知道，wp-config.php文件中记录了我们的wordpress使用的mysql数据库表名、用户、以及明晃晃的密码！

// ** MySQL 设置 - 具体信息来自您正在使用的主机 ** //
/** WordPress 数据库的名称 */
define('DB_NAME', 'xxxxxxxxxxxxxxxxxxxx');

/** MySQL 数据库用户名 */
define('DB_USER', 'xxxxxxxxxxxxxxxxxxxx');

/** MySQL 数据库密码 */
define('DB_PASSWORD', 'xxxxxxx明晃晃的密码xxxxxxxx');

/** MySQL 主机 */
define('DB_HOST', 'localhost');

/** 创建数据表时默认的文字编码 */
define('DB_CHARSET', 'utf8');

/** 数据库整理类型。如不确定请勿更改 */
define('DB_COLLATE', '');

如果不加限制，wp-config.php很容易就被黑客拿去下饭了。

不说别的，网络蜘蛛大家听说过吧？这东西在好人手里那是个好东西，但是在坏人手里，它就变得很邪恶了，它抓这个东西真是小菜一碟，看看下面的截图你就该汗汗了：

你如果在使用google的网络管理员工具，那么你可以进入管理，选择“像googlebot一样抓取”来模拟网络机器人抓取网页，几秒钟后返回：成功！

所以，我们必须把wp-config.php文件保护起来，如何保护呢？

我们的wordpress空间，也就是public_html目录下，也就是与wp-config.php文件同一个目录下，有个.htaccess文件，我们只要在最后面加入下面一段代码就OK了：

<files wp-config.php>
order allow,deny
deny from all
</files>

结果是这样的：

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

<files wp-config.php>
order allow,deny
deny from all
</files>

然后再把蜘蛛派出去抓抓看：

抓不着了吧？
相信低胸们的幼小心灵终于有了些许安慰了。。。。。。