如何保护WordPress免遭黑客攻击

1. 保持更新是头等大事，就像你手机APP总跳提示那种烦人但必须点。进后台看见核心、主题、插件有更新别犹豫，马上点升级。老版本漏洞多得像筛子，黑客就爱挑这种软柿子捏。

2. 管理员用户名别用默认的"admin"，这跟把家门钥匙插锁眼上没区别。安装时直接设个冷门组合，比如"blue_whale_2024"。如果已创建，赶紧新建管理员账号并删掉旧账号，文章归属转移到新账号：

   UPDATE wp_posts SET post_author = 新用户ID WHERE post_author = 旧用户ID;

3. 登录链接加把锁，改掉wp-login.php这个固定地址。用插件实现或手工在functions.php加代码：

   add_action('login_enqueue_scripts','redirect_login_page');
   function redirect_login_page() {
   if($_GET['secret'] != 'mypass') {
       wp_redirect(home_url());
       exit;
   }
   }

   现在必须用yoursite.com/wp-login.php?secret=mypass才能进登录页。

4. 限制登录尝试，防止暴力破解。装个Login LockDown插件或者自己写个失败计数器，超过5次错误就把IP封半小时。就像银行取款输错密码会吞卡那样。

5. 文件权限别给777这种全家桶权限。wp-config.php设置644，wp-content目录755，该只读的绝不给写权限。用FTP软件右击文件属性就能调整。

6. 数据库表前缀别用默认wp，安装时改成冷门前缀如xq42。如果已建站可通过插件修改，避免SQL注入时被直接猜中表名。

7. 定期备份是最后的救命绳，用UpdraftPlus插件设置每周自动备份到云存储。遭遇攻击时能快速回滚到正常状态，就像游戏存档读档那样利索。

最后记得隐藏WordPress版本号，在functions.php加：

remove_action('wp_head', 'wp_generator');

这样黑客就看不到你在用哪个版本，降低了被针对性攻击的概率。安全是个持续过程，不是一劳永逸的开关。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。