WordPress 很好用,但也因为太流行,成了黑客眼中的“优质目标”。很多网站出问题不是因为技术差,而是忽略了最基本的安全设置。防止网站被攻击,没有想象中那么复杂。只要把一些关键的地方设置好,就能大幅降低被入侵的风险。
一、不要用 admin 当用户名
这是最容易被忽视的漏洞。很多人安装 WordPress 时默认用户名就是 “admin”,但这也是黑客第一时间尝试的账号。
建议你:
安装 WordPress 时就用一个不容易猜的用户名
如果已经用了 admin,创建一个新的管理员账号,再把原来的 admin 删除
用户名不要和网站名太相似,比如域名叫 abc.com,管理员就别叫 abcadmin
二、设置强密码,不要用123456
你很难想象有多少站点的密码还是 qwerty、12345678、password 这种。黑客不需要很高级的技术,只要跑个“字典攻击”脚本,几十分钟就能撞开一堆站点。
强密码设置建议:
至少 12 位以上
使用大小写字母、数字、符号组合
定期更换
管理密码用密码管理器保存,比如 1Password、Bitwarden
三、限制登录尝试次数
WordPress 默认没有登录次数限制,这就给了暴力破解可乘之机。你可以安装一个插件来控制登录失败次数,比如:
Limit Login Attempts Reloaded
Wordfence Security(也内置登录限制功能)
WP Limit Login Attempts
设置一个合理的尝试次数,比如 3 次错误就锁定 IP 一小时,可以有效防止暴力破解。
四、启用双重验证(2FA)
就算账号密码被泄露,只要有双重验证,黑客也很难登录成功。你可以为 WordPress 管理员账户启用 Google Authenticator 或短信验证码。
推荐插件:
WP 2FA
Wordfence(内置)
MiniOrange 2-Factor Authentication
启用后,每次登录后台时除了输入密码,还需要输入手机 App 提供的一次性验证码。
五、定期备份网站
备份不是“可选项”,而是网站安全的底线。如果网站真的被攻击、文件被篡改,备份就是你唯一的“后悔药”。
推荐插件:
All-in-One WP Migration:适合整站导出导入
BackWPup:配置灵活,支持 Dropbox、S3 等备份位置
UpdraftPlus:支持自动备份到云端
建议至少每周备份一次,网站更新频率高的可以设置每天自动备份。
六、安装安全防护插件
WordPress 安全插件可以帮你做很多事,比如防火墙、恶意文件扫描、登录防护等。推荐几款口碑好、功能全的:
iThemes Security:适合新手,一键开启多个安全项
Sucuri Security:专注网站防火墙和文件完整性检查
Wordfence Security:全面防护、实时监控
安装之后记得定期运行扫描,有问题及时处理。
七、关闭 XML-RPC 接口
除非你明确知道要用(比如用外部软件发文),建议直接关闭 XML-RPC。它是黑客发起 DDoS 攻击、暴力登录的入口之一。
操作方式:
用安全插件关闭它,比如在 Wordfence 的登录安全设置中勾选关闭 XML-RPC
或者在网站根目录的 .htaccess 文件中添加:<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
八、及时更新 WordPress 和插件
过期插件、主题是最大风险源之一。很多攻击都来自于老旧版本的漏洞。
操作建议:
打开自动更新功能(WordPress 5.5+ 已内置)
每周登录后台检查是否有插件需要手动更新
不再使用的插件、主题直接删除,不要留着“备用”
九、隐藏 WordPress 版本号
有些攻击是针对特定 WordPress 版本的。如果你在源代码里暴露了 WordPress 版本,黑客就更容易判断是否存在已知漏洞。
你可以:
在 functions.php 中添加以下代码,去除版本号输出:remove_action(‘wp_head’, ‘wp_generator’);
或者用安全插件自动隐藏版本信息
十、禁用文件编辑功能
WordPress 后台有个“主题编辑器”和“插件编辑器”,万一账户被攻破,黑客可以直接在后台修改文件,控制整站。
建议禁用后台文件编辑功能,只通过 FTP 或面板管理代码。
操作方式:
打开 wp-config.php 文件
添加如下代码:define(‘DISALLOW_FILE_EDIT’, true);
保存后,后台将不再显示“插件编辑器”和“主题编辑器”。
总结
WordPress 安全看起来复杂,其实只要你从以下几点入手,已经能拦住大多数攻击:
不用 admin 做账号
密码强一点
登录别无限试错
装个防护插件
备份一定得有
插件常更新
很多攻击就是专挑“懒得管”的网站下手。花点时间把这些基础设置搞清楚,网站就多了一层保护罩。安全做到基础合格,你网站就已经比大多数站点更稳妥了。