为了确保你的 WordPress 网站安全,防止被入侵,可以从以下几个方面进行安全设置:
1. 基本设置
1.1 使用强密码和安全用户名
- 避免使用默认用户名“admin”,创建唯一的管理员用户名。
- 设置强密码,包括字母(大小写)、数字和特殊字符。
1.2 定期更新
- 更新WordPress核心:保持最新版本,及时修复漏洞。
- 更新插件和主题:尽量使用官方或高评分的插件和主题,并定期更新。
1.3 删除未使用的插件和主题
- 停用并删除未使用的插件和主题,减少攻击面。
1.4 修改默认登录地址
- 使用插件(如 WPS Hide Login)修改默认的
/wp-admin或/wp-login.php登录地址,降低被暴力破解的风险。
2. 安全插件
安装安全插件可以提供额外保护,例如:
- Wordfence Security:提供防火墙、恶意软件扫描和实时威胁防护。
- Sucuri Security:监控网站完整性、检测恶意文件。
- iThemes Security:保护登录页面、防止暴力破解。
- All In One WP Security & Firewall:综合安全功能插件。
3. 网站文件和目录权限
3.1 设置文件权限
wp-config.php:权限设置为400或440。- 文件:权限设置为
644。 - 文件夹:权限设置为
755。
3.2 禁止目录浏览
在 .htaccess 文件中添加以下代码:
Options -Indexes
3.3 限制 wp-config.php 访问
在 .htaccess 文件中添加:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
4. 防火墙和服务器安全
4.1 启用 Web 应用防火墙 (WAF)
- 使用服务如 Cloudflare 或 Sucuri 提供的 WAF 防护。
4.2 限制 IP 访问后台
在 .htaccess 中限制特定 IP 访问后台:
<Files wp-login.php>
order deny,allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>
将 xxx.xxx.xxx.xxx 替换为允许访问的 IP。
4.3 强制 HTTPS
确保网站使用 SSL 证书,在 wp-config.php 中添加:
define('FORCE_SSL_ADMIN', true);
5. 数据库安全
5.1 更改默认表前缀
默认的 wp_ 容易被攻击者识别,安装时或通过插件(如 WP-DBManager)更改表前缀。
5.2 限制数据库用户权限
只授予数据库用户最小的权限,避免直接使用管理员权限。
5.3 定期备份
使用插件(如 UpdraftPlus、VaultPress)或服务器计划任务,定期备份数据库和文件。
6. 防止暴力破解
6.1 启用双因素认证 (2FA)
使用插件(如 Google Authenticator、WP 2FA)为登录页面启用双因素认证。
6.2 限制登录尝试
使用插件(如 Limit Login Attempts Reloaded)限制失败登录次数。
6.3 启用 reCAPTCHA
在登录页面启用 Google reCAPTCHA。
7. 监控和日志
7.1 启用访问日志和审计
通过插件(如 WP Security Audit Log)记录用户活动和异常行为。
7.2 定期扫描恶意软件
使用安全插件定期扫描网站,检查是否存在恶意代码。
通过以上步骤,你可以大幅提高 WordPress 网站的安全性。如果是高流量或商业网站,可以考虑使用专业服务(如 Cloudflare Pro 或 Sucuri)进一步加强安全。
