WordPress的wp-admin目录是个很明显的攻击点，加上一层http authentication可以在web server层面干掉绝大部分scripting bot/boy，特别是脚本工具，几乎都不支持http验证，因为实在是太罕见了，同时也可以多提供一个安全层，哪怕后面的程序用admin/12345都没关系

非常简单：

在需要保护的目录下，运行：

htpasswd -c name_of_password_file name_of_user，接下来输入两次密码，就会创建一个用户名/密码文件

为了提高安全性，再改个名：mv name_of_password_file #unable_to_download_name，加上#在文件名里可以有效阻止意外下载

在目录下新建.htaccess

内容如下：

AuthName “Login Required” #(可以写的更凶猛一点，随意发挥)
AuthType Basic
AuthUserFile /full/path/to/password/file #（刚才创建的用户名密码文件的完整路径）
AuthGroupFile /dev/null
require valid-user
Options -Indexes #（顺手禁止目录浏览）

保存，完工，下次访问目录就需要验证了