WordPress安全加固:防止被黑的10项设置

我的博客去年被黑过一次,那种感觉……怎么说呢,就像你出差回家发现门大开着,屋里翻得乱七八糟。一开始我还以为是服务器问题,后来查日志才发现,是WordPress一个插件的漏洞被人利用了。

那之后我花了两周时间恢复数据、改密码、清理后门文件,整个人都麻了。所以今天这篇,我把我踩过的坑总结成10项设置,你照着做,至少能挡住90%的恶意攻击。


为什么你的WordPress博客容易被盯上

说实话,WordPress本身的安全性不差,问题出在生态太开放了。插件多、主题多,但质量参差不齐。而且WordPress默认的登录入口是 `/wp-admin`,全天下都知道,攻击脚本直接对着这个地址扫。

我见过太多新手博客,装完WordPress连后台地址都没改,账号是admin,密码是123456——这不是给小偷留门是什么?

下面这10项设置,从易到难排序,建议按顺序全部做一遍。


1. 修改默认登录地址

这是最简单、效果最明显的一步。WordPress默认登录地址是 `yoursite.com/wp-admin`,黑客脚本就专门扫这个地址。

改法很简单,安装一个 WPS Hide Login 插件,然后在设置里把登录地址改成你记得住但别人猜不到的,比如 `/mysecretlogin`。

这样一来,扫wp-admin的脚本全部扑空,黑客第一步就卡死了。


2. 强密码 + 双因素认证

我知道你肯定烦了,"又是密码"——但真的,弱密码是大多数博客被入侵的直接原因。

要求:密码至少12位,包含大小写字母、数字、特殊符号。

推荐用 WordfenceAll In One WP Security 插件,可以强制所有用户使用强密码,并且开启双因素认证(2FA)。手机上装个认证App,每次登录除了密码还要输入动态码。


3. 限制登录尝试次数

黑客用脚本暴力破解,就是一个劲地试密码。WordPress默认不限制失败次数,所以理论上可以无限次尝试。

安装 Limit Login Attempts Reloaded 插件,设置比如连续5次登录失败就封IP 1小时。这个插件简单粗暴效果好,我装了之后后台日志里攻击记录直接少了一大半。


4. 保持WordPress、主题、插件更新

这是老生常谈了,但真的重要。我的博客被黑那次,就是一个插件三个月没更新,正好那个月插件曝出了漏洞。

建议:

  • 开启自动更新(小版本)
  • 每月手动检查一次大版本更新
  • 删掉不用的插件和主题,留着就是隐患

5. 更改数据库表前缀

WordPress默认的数据库表前缀是 `wp_`,安装的时候很多人都懒得改。黑客知道这个,就对着 `wp_users`、`wp_posts` 这些表名下手。

如果你已经装好了,用 WP-DBManager 插件可以修改表前缀。或者……重装一次,这次记得在安装界面改成 `wps_xxx_` 这种自定义前缀。


6. 关闭XML-RPC接口

WordPress有个功能叫XML-RPC,用来远程发布文章、接口调用什么的。但这个接口也是被暴力破解利用的重灾区。

很多博主根本不用这个功能,那就直接关掉。在 `functions.php` 里加一行:

```php

add_filter('xmlrpc_enabled', '__return_false');

```

或者用插件 Disable XML-RPC 一键关闭。


7. 隐藏WordPress版本号

WordPress安全加固:防止被黑的10项设置-第1张图片-无双博客

每个WordPress页面源代码里都有 `` 这样的标签,告诉所有人你用的什么版本。知道版本号,黑客就能针对性地找漏洞。

Solid Security 或直接在 `functions.php` 里加:

```php

remove_action('wp_head', 'wp_generator');

```


8. 设置文件权限

这一步稍微技术一点,但很关键。WordPress里的文件权限应该这样设置:

文件/目录推荐权限
wp-config.php400(仅所有者可读)
/wp-content/755
/wp-admin/755
其他PHP文件644

宝塔面板里右键点文件就能改。这一步做对了,就算黑客拿到后台账号,也没法往服务器写入恶意文件。


9. 安装Web应用防火墙(WAF)

光靠上面这些还不够,高级黑客会用更复杂的攻击手法。这时候需要一个WAF,它会在恶意请求到达WordPress之前就拦截掉。

推荐 Wordfence Security,免费版自带Web应用防火墙、恶意软件扫描功能。如果预算够,Cloudflare Pro 套餐的WAF更强,还能顺便加速网站。


10. 定期备份 + 监控

这是最后一道防线,也是最重要的。前面9步做好了,99%的情况能挡住。但万一被破了怎么办?

必须做到两点:

1. 自动备份:用 UpdraftPlus 每天自动备份一次,备份文件存到云端(不要只存服务器上!)

2. 异常监控:装 Wordfence 并开启登录失败通知,有人连续尝试登录立刻邮件通知你


常见问题

Q:这些设置做了会不会影响网站正常运行?

A:基本不会。但第5条改数据库表前缀有一定风险,做之前一定要备份数据库。

Q:我用的是虚拟主机,很多设置改不了怎么办?

A:虚拟主机确实受限,重点做1、2、3、4、6、10这六条,也能挡住大部分攻击。

Q:网站已经被黑了怎么办?

A:别慌,先用Wordfence扫描确认入侵范围,联系主机商冻结账号,然后从干净备份恢复。密码全部重设,插件全部重新安装。

Q:有必要装多个安全插件吗?

A:不需要,一个Wordfence就够用了。插件装多了本身也是安全隐患。


推荐阅读


有问题或者想聊聊你踩过的坑,加我微信:15207283116,备注"博客"。

标签:WordPress安全,博客搭建,网站安全,WordPress插件,宝塔面板