您现在的位置是：首页 > WordPress教程WordPress教程

WordPress网站安全性提升

WP集市 2025-09-10 【WordPress教程】 1722人已围观

好的，请看：

咱们先唠唠，你弄个WordPress站，是不是有时候半夜会突愣一下，心寻思“这玩应儿不会被黑了吧？”。别怕，这感觉大家都有。安全这事儿吧，就像给你家大门上锁，防君子也尽量让小人儿费点劲。它不是一劳永逸，是个细水长流的活儿。
头一桩，最要紧的，别再用“admin”当管理员用户名了。这跟用“123456”当银行卡密码一个道理，纯属忽悠自己。新建个用户，给管理员权限，然后把那老“admin”删喽。登入的时候，别人得猜你用户名是啥，再猜密码，难度直接翻倍。
密码，咱得支棱起来。别用你狗名儿加生日那套了。整点复杂的，大小写字母、数字、特殊符号(!@#$%^&*)搅和在一起。比如 MyWpSite!Is#Best2024 这就像样多了。你自己记不住？用密码管理器啊，LastPass、Bitwarden啥的都行。

后台登录地址，默认的 /wp-admin 和 /wp-login.php，黑客们闭着眼睛都能摸到。咱给它改唠。用插件最省事，比如 WPS Hide Login，装好之后就能设成一个别人猜不着的地址，比如 /my-secret-portal-2024（这例子不好，你别真用这个，自己想个更怪的）。这样能挡住绝大部分瞎撞的脚本小子。

// 其实插件也是改这个，但手动改容易出错，不推荐新手。道理是这么个道理：
// 在你的主题的functions.php文件里加钩子，重定向登录地址。
// 看看就得，别轻易自己试。
function my_custom_login_url() {
    return site_url( '/my-secret-portal-2024', 'login' );
}
add_filter( 'login_url', 'my_custom_login_url', 10, 3 );

限流，很重要。想象一下，有个坏蛋拿个水龙头对着你家锁眼滋水，尝试一万次密码，总有可能蒙对一次吧？限制登录尝试次数就能治这个病。装个插件，比如 Wordfence 或者 Limit Login Attempts Reloaded。设置一下，比如同一个IP一分钟内密码错5回，就锁它一小时。
软件得更新！WordPress核心、主题、插件，一有更新提示，麻溜儿地更。这些更新经常就是补上了已知的安全窟窿。你拖着不更，就相当于知道墙上有个洞还不堵，等着贼钻进来。嫌麻烦可以开自动更新，起码给小版本更新开了。

数据库表前缀，默认是 wp_，安装的时候手勤快点儿，给它改成别的，比如 myprefix_。这样一些基于默认前缀的SQL注入攻击可能就失效了。装完了再改就费劲了，得操作数据库。

-- 这是个示例，假设你想把默认的 wp_posts 改成 myprefix_posts
-- 操作数据库有风险，动之前一定一定要备份！
RENAME TABLE `wp_posts` TO `myprefix_posts`;
-- 其他的表也得依次改名，还得去改wp-config.php里的$table_prefix变量。

备份！备份！备份！说三遍。这是最后的救命稻草。就算上面说的你全没做，网站真让人黑了，有个最新备份，你也能瞬间满血复活。用插件，比如 UpdraftPlus，设置成每天自动备份到网盘（Dropbox、Google Drive啥的）。别偷懒。
文件权限，这个稍微高级点，但知道了没坏处。有些文件不能给太高权限。通过FTP或者主机后台的文件管理器，看看wp-config.php这个最核心的配置文件，权限设为444或400（只读）就够了。其他的文件夹755，文件644。这能防止有些文件被恶意修改。
SSL证书，现在基本上免费了（Let‘s Encrypt），你的主机商可能一键就给装了。装上好，地址栏变成https，旁边一把小锁。这能让数据在传输过程中是加密的，别人截获了也看不懂。而且现在浏览器都标http是不安全的，不好看。
安全插件，整个靠谱的。Wordfence Security 或者 Sucuri Security 都行。它们就像给你的网站请了个保安，能防火墙、能扫恶意代码、能监控文件改动，功能一大堆。装一个，设置好，能省老多心了。
最后唠点干的，别瞎装插件和主题。从WordPress官方库或者正经开发商那儿下。那些nulled（破解版）的主题插件，里边儿指不定塞了啥后门代码呢，你装上去就等于请贼入户。免费的代价可能老高了。