WordPress如何设置防火墙

1. 先唠唠防火墙干啥用的。你想想，WordPress这玩意儿就像你家大门，天天有人敲门，有好人有坏蛋。防火墙就是那个看门的保安，得拦着那些想偷摸进来搞事情的坏家伙。比如有人想用SQL注入来撬锁，或者用XSS脚本在评论区贴小广告，保安就得眼疾手快给挡出去。

2. 最简单的招数：用插件。别硬刚代码，咱不是铁头娃。装个 Wordfence 或者 All In One WP Security，这俩就像给WordPress请了个退伍特种兵。比如Wordfence里头有个“速率限制”功能，谁一分钟内密码错五次，直接封IP！配置嘛，就勾选“启用登录安全”：

   // 这不是真代码，是插件设置逻辑模拟
   if (failed_login_count > 5) {
   block_ip($_SERVER['REMOTE_ADDR']);
   }

3. 要是想手动整点活，改改 .htaccess 文件也行。这文件好比保安的执勤手册。比如屏蔽某个总来捣乱的IP段，加这几行：

   # 封禁114.114.114.*整个段
   order allow,deny
   deny from 114.114.114
   allow from all

   不过手抖容易把自家门锁了，改之前先备份！

4. 数据库也得加护盾。有些插件动不动连数据库，咱得给数据库用户降权。别用root账号啊兄弟！比如新建个用户只给SELECT和UPDATE权限：

   CREATE USER 'wp_user'@'localhost' IDENTIFIED BY '强密码123!';
   GRANT SELECT, UPDATE ON wp_database.* TO 'wp_user'@'localhost';

5. 最后整个邪门的：改登录地址。默认/wp-admin/就像把钥匙藏地毯底下，黑客闭眼都能摸到。用插件把登录地址改成比如 /my_secret_door，这样机器人爬了个寂寞。当然真要硬核可以加代码到functions.php：

   add_action('login_enqueue_scripts', 'redirect_fake_admin');
   function redirect_fake_admin() {
   if ($_SERVER['REQUEST_URI'] === '/wp-admin/') {
       wp_redirect(home_url());
       exit;
   }
   }

总之防火墙就是个动态过程，就像你得定期给保安培训新套路。别装完插件就躺平，记得更新规则库，偶尔看看日志里谁在蹲点踩盘。安全这事儿， paranoid一点总没错。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。