在 wordpress 上传功能中是可以上传任何附件文件的，这对于 wordpress 是极其不安全的，当然我们可以通过插件来禁止某些文件不允许上传，但站点能不用插件就不用插件吧，夏日博客还是提倡直接使用代码来解决，禁止或者只允许某些格式的上传会增强 wordpress 的安全，比如说我们站点基本上也就上传一下图片，哪么就可以在根目录下定义这几种格式的上传，其它的则禁止。

在根目录下的 .htaccess文件中键入如下的代码:

<Files ~ ".*..*">
    Order Allow,Deny
    Deny from all
</Files>
<FilesMatch ".(jpg|jpeg|jpe|gif|png|tif|tiff)$">
    Order Deny,Allow
    Allow from all
</FilesMatch>

这段代码就是定义了 jpg、jpeg、jpe、gif、png、tif、tiff 几种图片类型的上传，其它的则禁止，如果需要其它的就可以自定义一下，这种方法只适合应用于 apache+php+mysql 环境下额。