1、用户名和显示的名字设为不一样

我在Activity Log里面经常看到类似的记录：Invalid user name 'VanDenn' in password recovery attempt (IP: 62.44.96.2)，就是说有恶意的密码恢复，这些应该是用自动工具实现的，不是人为手动的。很多人的用户名和显示的名字是一样的，那么，要是人为手动地去进行破解，那么他最先尝试的当然是显示的用户名，再用人体工程学原理去猜测你的登录密码。如果用户名不一样的话，那么他得逞的概率就小很多。

可以在后台用户管理那里进行修改。

2、修改默认的后台地址

默认的后台地址会是https://www.ezloo.com/cgi-bin/mt.cgi，我们可以通过在mt-config.cgi中设置，修改默认的后台地址，比如设置成https://www.ezloo.com/cgi-bin/mtadmin.cgi，只需要在mt-config.cgi中加入下列一行。

AdminScript mtadmin.cgi

还有一个AdminCGIPath的设置选项，但是就一个后台，通过搜索就很容易保留cgi-bin的目录，所以觉得这个不是很重要，修改了登录的入口，尝试暴力破解的没办法了。

3、把mt-check.cgi这个文件的名字改成其他的

最新版的Movable Type在安装完成之后，发现有mt-config.cgi文件，会自动屏蔽mt-check.cgi的访问。

这个文件会透露很多服务器的信息和已经安装的插件的信息，如果一些插件有漏洞，没有及时更新，被不法分子知道了，他就会发动攻击。

一些简单的设置，虽然不起眼，但是会使我们的Movable Type更加安全，会省去很多的麻烦。

4、把<$mt:ProductName version="0"$>设为0

<$mt:ProductName version="0"$>设为0就是不显示该MT的版本，一些进行恶意攻击之前会查看一下该版本，看看有没有机会下手。

5、上传附件和生成文件夹的权限

Movable Type在生成文件夹的时候，默认的权限是777，上传的文件，默认的权限是666，我们可以通过在mt-config.cgi中增加下面两行，把生成的文件夹权限设置为755，上传的文件，权限设置为644。

• UploadPerms 0644
• DirUmask 0022