登录安全:第一道防线
暴力破解是WordPress最常见的攻击方式。必做设置包括:修改默认登录地址(/wp-admin)、限制登录尝试次数(推荐Limit Login Attempts插件)、启用双因素认证(2FA),以及删除默认的admin账户。这些基础操作可以阻挡90%的自动化攻击。
文件与目录权限
错误的文件权限是网站被植入后门的常见原因。正确配置为:wp-config.php设为640,目录设为755,文件设为644。 wp-content/uploads目录需要特别留意,建议禁止执行PHP文件。可通过.htaccess或Nginx配置实现。
数据库保护
安装时修改默认的数据库表前缀(wp_),避免使用网站名称或域名作为数据库名和用户名。定期通过phpMyAdmin或插件优化数据库,清理修订版本和垃圾评论。建议每月至少备份一次完整数据库。
备份与恢复策略
没有备份的安全方案都是空谈。推荐3-2-1备份原则:3份副本、2种介质、1份异地。UpdraftPlus和BlogVault是两款口碑较好的备份插件,支持自动备份到云存储(Google Drive、Dropbox等)。
持续监控
安装安全扫描插件(如Wordfence或Sucuri),开启文件变更监控和防火墙。定期检查用户列表,删除可疑账户。保持WordPress核心、主题和插件的及时更新,过期的插件是漏洞的主要来源。