WordPress是當(dāng)今CMS和博客平臺(tái)的先鋒，自然是眾黑客們常攻擊的對(duì)象，那么WordPress網(wǎng)站安全則成為站長(zhǎng)們最為關(guān)心的一個(gè)環(huán)節(jié)。配置一個(gè)WP網(wǎng)站非常簡(jiǎn)單，很快就能運(yùn)行起來，即使如此，我們也不能小視其安全問題。否則，所有的網(wǎng)站信息 - 可能是貴公司的信息也可能是您網(wǎng)站訪客的信息，都將存有被盜取的風(fēng)險(xiǎn)。所以，下面咱們一起來探討一下具體采取哪些措施來有效地防御WordPress網(wǎng)站的安全問題，還您的WordPress網(wǎng)站一個(gè)安全、干凈的運(yùn)行環(huán)境。

1. 常規(guī)更新基礎(chǔ)保障WordPress站點(diǎn)安全

首先最為重要的是保持更新您所有的文件和WordPress插件。WP和各種插件會(huì)經(jīng)常發(fā)布新的安全補(bǔ)丁，只有保證WP和插件處于最新版本狀態(tài)才能嚴(yán)防站點(diǎn)之門將網(wǎng)絡(luò)犯罪拒之門外。
不管這些漏洞是小是大或嚴(yán)重與否，都要謹(jǐn)慎對(duì)待，確保安裝每一個(gè)最新更新，全面掃除，因?yàn)槿魏我粋€(gè)WordPress漏洞都可能造成安全隱患，切不可冒險(xiǎn)。

2. 嚴(yán)控Admin面板訪問給WordPress站點(diǎn)安全加鎖

WordPress admin面板是您對(duì)站點(diǎn)進(jìn)行所有更改并執(zhí)行操作的區(qū)域，所以限制對(duì)admin面板的訪問是非常重要的，我們一般的做法是僅授予需要該面板的用戶以訪問權(quán)限。如果您沒有在站點(diǎn)上注冊(cè)，網(wǎng)站訪客則不需要訪問 /wp-login/ 或 /wp-admin/。

接下來是要獲取您的home IP，該IP是您可以在很多諸如“whatismyip.com”等的站點(diǎn)上看到的IP。添加文本行到WordPress admin中的 /.htaccess/ 文件。然后，您則可以使用你的home IP地址替換當(dāng)前的地址：
1.
2. order deny, allow
3. Deny from all
4. Allow from xx.xxx.xxx.xxx
5.

若允許從多個(gè)地址或多臺(tái)電腦登錄，只需在下面的文本行中另外添加“Allow from”說明。然后插入其它地址。您是否經(jīng)常更換地址并使用Wi-Fi網(wǎng)絡(luò)？如果是這樣，可能需要不限IP地址，那我們就必須要限制登錄嘗試次數(shù)才能保障安全。
限制登錄嘗試次數(shù)可以防止有人通過多次登錄嘗試來猜測(cè)您的密碼。具體怎么做呢？首先，找到“WP Limit login attempts”插件，然后選擇允許錯(cuò)誤密碼輸入的次數(shù)，一旦超過此登錄嘗試次數(shù)，則被鎖定無法再嘗試登錄。以此來減少黑客對(duì)您的WP網(wǎng)站攻擊的風(fēng)險(xiǎn)。

3. 修改默認(rèn)的Admin用戶名把關(guān)WordPress站點(diǎn)安全

很顯然，每個(gè)用戶都應(yīng)更改默認(rèn)的WP用戶名，但是卻往往被很多用戶所忽視，而從來都沒改過默認(rèn)的用戶名。這樣就給黑客們留有可趁之機(jī)，直接使用“admin”用戶名登錄，那么，他們只需要做的就是使用某種軟件一遍一遍地猜密碼。對(duì)于黑客們來說，這種方式屢試不爽。所以一定不能犯此低級(jí)錯(cuò)誤，要立即更改用戶名。

4. 加強(qiáng)密碼給WordPress站點(diǎn)嚴(yán)密設(shè)防

上面的道理同樣適用于密碼設(shè)置。很多人使用非常簡(jiǎn)單的密碼，輸入首先跳入腦子的數(shù)字字符就覺得萬事大吉。其實(shí)這樣很危險(xiǎn)。因?yàn)椴还苣褂玫拿艽a多么獨(dú)特，越簡(jiǎn)單的密碼跟大多數(shù)人使用的密碼相似的可能性就越高。所以，在此建議，設(shè)置密碼時(shí)多花點(diǎn)時(shí)間和功夫，不然就有可能方便了黑客們。
一般黑客們都會(huì)猜測(cè)我們常用什么樣的密碼，如果我們?cè)O(shè)置密碼時(shí)很隨意，他們會(huì)用自己的方式很快破解我們的密碼。我們不妨想出一個(gè)對(duì)我們來說比較特別但又好記的句子，使用該句子里每個(gè)詞的首字母，然后往里添加數(shù)字和符號(hào)，這樣就可以設(shè)置一個(gè)既復(fù)雜又易記的密碼。

5. 清除惡意軟件和病毒清掃WordPress站點(diǎn)威脅

如果您的電腦不安全，那么使用它來登錄您的WordPress網(wǎng)站，您的網(wǎng)站自然也不可能安全。若您的電腦上有惡意軟件或病毒，在您訪問您的站點(diǎn)時(shí)，黑客能夠很容易獲取您的登錄信息，接下來他們很快就能自己登錄您的站點(diǎn)，繞開您所設(shè)置的所有安全措施。
也許您會(huì)覺得最大的威脅來自在線和直接的攻擊，但是其實(shí)很多黑客會(huì)創(chuàng)建智能的惡意軟件，這種軟件能夠在您的電腦上駐留很久。他們會(huì)盜取您的重要信息，例如登錄信息等。這就是為何要安裝一個(gè)好的殺毒軟件的原因。我們平時(shí)要做的就是常更新殺毒軟件，定期掃描電腦，以確保系統(tǒng)是干凈的。

6. 使用Plesk的WordPress工具包執(zhí)行安全檢查全面掃除安全隱患

Plesk的WordPress工具包是一個(gè)管理界面，通過該界面我們可以輕松地使用Plesk管理、配置和安裝WordPress。如果您在系統(tǒng)上安裝了Plesk面板則會(huì)有該工具包，非常方便。您可在此輕松地使用該工具包執(zhí)行WordPress網(wǎng)站安全檢查。

WordPress內(nèi)容文件夾
在 /WP-content/ 文件夾中有很多不安全的PHP文件，如果有人誤用，就有可能會(huì)損壞WordPress站點(diǎn)。安裝WordPress后，您就可以直接從該目錄執(zhí)行PHP文件，而該安全檢查將會(huì)核查PHP文件的執(zhí)行是否被禁，是否可以安全執(zhí)行。
請(qǐng)謹(jǐn)記 /web.config/ 或 /.htaccess/ 文件中的任何自定義指令都可能會(huì)覆蓋設(shè)置安全措施。此外，當(dāng)您保護(hù) /WP-content/ 文件夾的安全時(shí)某些WordPress插件可能會(huì)停止運(yùn)行。

配置文件
在WP-config.php 文件內(nèi)有很多敏感信息，包括數(shù)據(jù)庫訪問信息。因此在安裝WordPress后，需執(zhí)行WP-config.php文件。因?yàn)槿绻鹷eb服務(wù)器PHP文件處理關(guān)閉了，任何實(shí)力較強(qiáng)的黑客都可以訪問您的WP-config.php文件內(nèi)容。
而通過該安全檢查，則可以阻止對(duì)該文件任何不必要的訪問。另外， /web.config/ 或 /.htaccess/ 也都可以覆蓋該安全措施。

目錄瀏覽權(quán)限
如果啟用了目錄瀏覽，則給黑客們留有獲取重要網(wǎng)站信息的機(jī)會(huì)。這些信息包括，網(wǎng)站創(chuàng)建方式、裝有哪些插件，等等。在Plesk中，默認(rèn)禁用目錄瀏覽。而通過安全檢查，還可以確認(rèn)是否禁用了目錄瀏覽。

數(shù)據(jù)庫前綴
每個(gè)WordPress安裝實(shí)例都會(huì)使用相同的數(shù)據(jù)庫表命名法。如果您在數(shù)據(jù)庫表名稱中只使用標(biāo)準(zhǔn)的 /WP_/ 前綴，數(shù)據(jù)庫結(jié)構(gòu)就無法保密。也就是說，任何人都將有可能從該數(shù)據(jù)庫獲取信息。
而安全檢查會(huì)將所有的數(shù)據(jù)庫表默認(rèn)的 /WP_/ 前綴改掉。然后會(huì)停用各個(gè)插件并啟用維護(hù)模式。在更改完配置文件和數(shù)據(jù)庫內(nèi)的前綴后，在最終關(guān)閉維護(hù)模式之前才會(huì)重新激活各個(gè)插件并刷新永久鏈接結(jié)構(gòu)。

文件和目錄的權(quán)限
如果您的權(quán)限與安全策略不符，那么所有不符的文件都將很容易受到安全威脅。安裝完成后，您的目錄和文件可能有不同的權(quán)限。使用WordPress網(wǎng)站安全檢查，正好可以確認(rèn)權(quán)限是否正確設(shè)置。應(yīng)該有755個(gè)目錄，600用于WP-config.php而644用于所有其它文件。

版本信息
所有WordPress版本都有不同的安全漏洞，這就是為什么要避免顯示您所使用的版本的原因。黑客們很有可能知道你所使用版本本身所存在的缺陷，當(dāng)然，他們也可以在 /redme.html/ 文件中找到您的WordPress 版本以及頁面元數(shù)據(jù)。
通過執(zhí)行WordPress網(wǎng)站安全檢查，您可以查看所有的 /readme.html/ 文件是否為空。另外，還可以看到您所有的主題是否有一個(gè)帶有文本行：Remove_action (/wp_head/ , /wp_generator/)的 /functions.php/ 文件。

如果需要，您可以更改安全設(shè)置并查看您網(wǎng)站的安全狀態(tài)。首先，進(jìn)入 網(wǎng)站與域名 > WordPress 找到 S 欄，然后執(zhí)行下面的步驟：
1. 點(diǎn)擊 “檢查安全” 查看您所有的WordPress安裝實(shí)例是否安全。
2. 如果您想要保證單個(gè)安全實(shí)例的安全，請(qǐng)找到S欄，點(diǎn)擊該安裝實(shí)例旁的圖標(biāo)。
3. 如果您想要檢查多個(gè)安裝實(shí)例，請(qǐng)選定它們的對(duì)應(yīng)復(fù)選框，點(diǎn)擊檢查安全性按鈕。
4. 最后，選擇您想要執(zhí)行的各個(gè)安全提升，然后點(diǎn)擊安全按鈕即可。

以上各步驟能夠最大程度地保障您的WordPress網(wǎng)站的安全，雖說不可能保證站點(diǎn)100%安全，但是可以最大限度降低別人入侵您的站點(diǎn)盜取信息以在線進(jìn)行不法不利操作的幾率。