WordPress 的基本安全

以下是保护 WordPress 网站免受攻击的安全措施：

1. 登录安全

• 使用强密码： 组合大写字母、小写字母、数字和特殊字符。
• 限制登录尝试次数： 使用 Limit Login Attempts Reloaded 等插件。
• 启用双重身份验证 (2FA)： 使用 Google Authenticator 或 Wordfence 等插件。
• 更改登录 URL： 使用 WPS Hide Login 等插件修改默认的 /wp-login.php 路径。

2. 定期更新

• 更新 WordPress、主题和插件： 确保使用最新版本。
• 删除不必要的插件： 不必要的插件可能成为安全漏洞。

3. 保护配置文件和访问权限

• 保护 wp-config.php 文件： 将其移出根目录或设置适当的访问权限。
• 设置正确的文件权限： 文件使用 644，目录使用 755。
• 禁用 WordPress 管理后台的文件编辑功能： 在 wp-config.php 文件中添加以下代码：

fine('DISALLOW_FILE_EDIT', true);

4. 定期备份

• 使用 UpdraftPlus 或 BackupBuddy 等插件进行定期备份。

5. 数据库安全

• 更改默认表前缀： 使用自定义前缀代替 wp_。
• 为 MySQL 使用强密码： 确保数据库密码难以猜测。

6. 启用 HTTPS (SSL)

• 使用 SSL 证书加密用户与服务器之间的连接。

7. 防止暴力破解和 DDoS 攻击

• 使用 Cloudflare 或 Wordfence 等 Web 应用防火墙 (WAF)。
• 限制 IP 访问： 通过 .htaccess 文件阻止或限制不需要的 IP 访问。

8. 安全监控

• 使用 Sucuri Security 或 Wordfence 等工具检测恶意代码并监控异常活动。

9. 隐藏 WordPress 版本信息

• 在 functions.php 文件中添加以下代码，以移除源代码中的版本信息：

remove_action('wp_head', 'wp_generator');

10. 使用安全的托管服务提供商

• 选择提供自动备份、攻击监控和 DDoS 保护等安全功能的托管服务。

通过实施这些措施，可以显著提高 WordPress 网站的安全性。