WordPress 网站安全指南

教程 | WordPress 网站安全指南:20个实用建议,轻松防止网站被黑

作者

WordPress 功能强大,但也因“太受欢迎”成为黑客重点攻击目标。不要认为你的站点小,不起眼,就不会被黑。随着你的业务发展,一旦有一定的流量后,黑客必然会找到你,这是一定的,而且现在全部都是自动化的扫描和攻击,不做好基础防护一定会被侵入。

如果业务发展起来后网站被瘫痪或者勒索,那时候的损失就比较大了,看下我们自己其中一个小站每天被攻击的次数。

如何让你的网站更安全?今天这篇文章不讲高深技术,只讲普通用户能做的实用安全防护方法,手把手带你把 WordPress 网站武装起来!

为什么 WordPress 容易被攻击?

  • 全球超40%的网站使用 WordPress → 被盯上概率高
  • 很多用户用默认设置、不更新、不备份
  • 使用来源不明的盗版主题/插件 → 自带后门木马
  • 主机权限配置不当,暴露重要文件
  • 密码弱、后台路径固定 → 被扫库暴力破解

所以,我们只要做好几个核心点,就能避免 99% 的攻击!

一、基础安全设置

1. 修改后台登录地址

WordPress 默认后台地址是:https://yoursite.com/wp-admin

黑客也知道!建议修改为:https://yoursite.com/mydoor 或 login-secure

实现方式:

  • 安装插件 WPS Hide Login
  • 安装后在设置中修改地址,如 /mylogin,以后就用新地址登录后台

2. 使用强密码 + 启用二次验证

密码不要用:admin / 123456 / yoursite2023

二次验证建议插件:可以使用安全插件Wordfence自带的2步验证,也可以使用专用插件:WP 2FA, Google Authenticator for WP

3. 定期备份,防止被黑后数据丢失

如果服务器带自动备份功能比较方便(如Hostinger自带每天备份),可以每天都备份一次,或者使用插件备份也是可以的。

插件推荐:

  • UpdraftPlus(自动定期备份到云端如Google Drive)
  • All-in-One WP Migration(手动备份+一键还原)

二、中级安全措施(建议开启)

1. 安装 Wordfence 安全防火墙

Wordfence 是 WordPress 上最强大的安全插件之一:

✅ 防恶意登录
✅ 实时防火墙
✅ 扫描恶意代码
✅ 登录尝试限制
✅ 邮件提醒安全问题

安装后建议开启:

  • 限制密码尝试次数(如5次锁定IP)
  • 开启实时 IP 阻止列表
  • 每日安全扫描

2. 自动更新主题/插件/核心

很多网站被黑是因为使用了未更新的老插件/老主题,这些版本往往存在漏洞!

设置方法:

  • 后台 → 插件 → 开启“自动更新”
  • 后台 → 外观 → 主题 → 开启“自动更新”
  • 核心版本建议手动更新前先备份

3. 删除未使用的插件和主题

不使用 = 也有风险!插件即使没启用,只要存在代码文件,就可能成为攻击入口。

✅ 请彻底删除:

  • 旧的/用不上的插件
  • 多余的主题(保留一个备用即可)

4. 关闭 XML-RPC 功能(重要)

这个功能用处很小,但却被广泛用于攻击(暴力破解 / DDOS)

关闭方式(安装插件):

  • Disable XML-RPC
  • 或使用 Wordfence 中的防护项禁用 XML-RPC

三、服务器与文件权限优化(VPS用户需看)

1. 更改文件权限

标准安全设置如下:

文件或目录推荐权限
wp-config.php400 或 440(只读)
wp-content/755(可写)
所有 .php 文件644(普通读写)

如使用宝塔面板 / SSH,可手动修改权限。

2. 限制 wp-config.php 和 .htaccess 访问

在 .htaccess 中添加:

<Files wp-config.php>

order allow,deny

deny from all

</Files>

3. 隐藏 WordPress 版本号

WordPress 会在网页源代码中暴露版本号,黑客可根据版本查找漏洞。添加以下代码到 functions.php

remove_action(‘wp_head’, ‘wp_generator’);

四、防盗链、防恶意爬虫、防挂马建议

1. 防盗图防盗链(宝塔设置)

使用 Nginx 或 Apache 都可设置图片防盗链,禁止其他网站直接调用你网站的图片。

2. 使用 Cloudflare CDN + 防火墙

✅ 免费提供 HTTPS、防DDOS、防刷防盗刷
✅ 支持 IP 黑名单 / 地域封禁
✅ 页面缓存加速、Bot 管理

五、被黑了怎么办?(恢复流程)

❗ 初步判断网站被入侵:

  • 主页被篡改、添加广告跳转
  • 出现陌生账户
  • 插件或主题异常
  • 网站流量激增但无用户访问
  • Google 搜索出现警告

恢复步骤:

  1. 立即备份当前网站文件 + 数据库
  2. 登录 FTP / 文件管理,检查是否多了可疑文件(如 eval(base64...) 字样)
  3. 删除可疑插件、重新上传主题文件
  4. 恢复最近的备份
  5. 更换所有账户密码(包括主机后台、数据库)
  6. 安装 Wordfence 扫描 + 修复
© 2025 大亮出海 版权所有,转载请链接到本文并注明出处!

Privacy Policy

Terms

Partner

Contact