您现在的位置是：首页 > WordPress教程WordPress教程

WordPress安全加固清单

WP集市 2025-08-26 【WordPress教程】 891人已围观

更新是硬道理。别管主题插件还是wordpress本身，有更新就点上。旧版本等于开门揖盗，漏洞摆那儿谁都能进。后台更新不了？ftp传上去覆盖，没商量。
登录防护得像银行账户。默认admin用户名赶紧改掉，用UPDATE wp_users SET user_login='new_name' WHERE user_login='admin';这种sql换掉。密码别用123456，长点混着大小写加符号。两步验证装上，手机收个码再进。
密钥不能省。wp-config.php里那几行盐值，找官网生成器换新的。像define('AUTH_KEY', 't2B$g7L#p9@k!zVc');这种，越长越乱越安全。别用默认值，黑客就等着你偷懒。
文件权限要收紧。wp-content里头，插件主题755，上传文件夹744。配置文件444只读，用chmod设置。多余的文件像read.html/license.txt全删掉，减少攻击面。

隐藏后台路径。不用/wp-admin/进门，用插件改登录地址成比如/my-secret-login/。机器人扫不到就少一半麻烦。试试这代码加进functions.php：

add_filter('site_url', 'wpb_login_mask', 10, 3);
function wpb_login_mask($url, $path, $orig_scheme) {
if ($path === 'wp-login.php') return home_url('/my-secret-login/');
return $url;
}

限流登录尝试。连续输错密码就封IP，装个Limit Login Attempts插件就行。自己加代码也行，但插件省心。别让黑客无限试密码，撞库就是这么来的。
数据库前缀别用wp_。装站时就改成xyz_这类随机值，防sql注入。已经建站？用插件改，手动容易搞崩。表名越难猜，注入越麻烦。
定期备份是救命稻草。全站文件加数据库，存到云端别放本地。UpdraftPlus这类插件能自动备份，崩了还能一键还原。安全再强也得留后路，服务器也会宕机。
监控文件变动。装个Wordfence扫描核心文件，被改了马上告警。陌生插件别乱装，官网外的资源可能带毒。没事看看用户列表，多了管理员账号就赶紧删。
最后记得关显示错误。wp-config.php里加define('WP_DEBUG', false);，不把路径信息泄露给访客。错误日志自己看就行，别摊给黑客看。