如何保护WordPress后台安全

1. 后台登录地址别用默认的/wp-admin，改个路径像藏钥匙一样。在wp-config.php里加这行：

define('WP_LOGIN_URL', 'https://yourdomain.com/secret-path');

2. 强密码不是开玩笑，admin/admin这种组合等于开门迎贼。用函数生成复杂密码：

function generate_strong_password($length=12) { $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()"; return substr(str_shuffle($chars),0,$length); }

3. 限制登录尝试，像银行密码输错三次就锁死。用Login LockDown插件或者加代码：

add_filter('authenticate', 'check_login_attempts', 30, 3); function check_login_attempts($user, $username, $password) { $attempts = get_transient('loginattempts'.$_SERVER['REMOTE_ADDR']); if ($attempts > 3) wp_die('Too many attempts'); }

4. 双因素认证就像给门加第二把锁，用Google Authenticator插件，登录时不仅要密码还要手机验证码。

5. 定期检查用户列表，像清点家里人口。在phpMyAdmin里跑SQL查询：

SELECT user_login FROM wp_users WHERE user_status=0;

6. 文件权限设置像分钥匙，不该给的别给。wp-config.php设为400，其他核心文件644：

chmod 400 wp-config.php find /path/to/wordpress/ -type f -exec chmod 644 {} \;

7. 后台SSL加密像用防窃听电话，在wp-config加：

define('FORCE_SSL_ADMIN', true);

8. 更新就像换锁芯，老版本有已知漏洞必须及时升级。设置自动更新：

define('WP_AUTO_UPDATE_CORE', true);

9. 隐藏版本号像不对外说家门型号，从header里移除：

remove_action('wp_head', 'wp_generator');

10. 最后记得备份，像给房子买保险。用UpdraftPlus插件或者cronjob自动备份数据库和文件。

安全不是一次性的动作，要像每天锁门一样养成习惯。别等被入侵了才想起这些，那时候只能对着被篡改的首页发呆了。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。