在我们使用wordpress建站的同时,安全性也是不可忽略的,如果你经常查看网站日志便会发现,每天都有有很多恶意用户以及爬虫,以下是对网站加强安全的建议,大家可以参考下!
登录安全
- 修改默认登录地址:将
wp-admin改为自定义路径,如my-secret-login。推荐使用插件WPS Hide Login,安装后在设置中填写新URL即可。 - 启用双重认证:通过插件Wordfence或Google Authenticator添加手机验证码验证。
- 限制登录尝试:使用Login LockDown插件,设置连续输错3次密码后锁定IP 1小时。
- 定期更换管理员用户名:避免使用“admin”这类常见名称。
更新与备份
- 立即更新:WordPress、主题和插件务必保持最新。可在后台>仪表盘>更新中一键操作。
- 自动备份:设置自动备份,设置每周备份到其他网盘或远程主机,关键数据建议保留3个版本。
安装安全插件
- Wordfence:免费版即提供防火墙和恶意代码扫描。安装后进入Firewall页面,点击Enable并选择“Learning Mode”一周,再切换至“Enabled and Protecting”。
- Sucuri Security:专注监控文件完整性,如发现可疑修改会邮件提醒。
禁用文件编辑功能
黑客常通过后台编辑器植入代码。在wp-config.php文件中添加如下代码
define('DISALLOW_FILE_EDIT', true);配置SSL证书和HTTPS
- 启用SSL证书:如果主机提供免费SSL(如Let’s Encrypt),可在cPanel的SSL/TLS中一键启用。
- 修改站点地址:在WordPress后台>设置>常规,将站点地址的
http://改为https://。
修改数据库前缀
默认的wp_前缀容易被猜测。使用插件Change Table Prefix安全修改,或手动操作。
监控网站日志
定期检查网站日志,监控是否有异常的登录尝试或其他可疑活动。及早发现潜在问题,才能有效降低损害。
选择安全可靠的主机与设置
选择信誉良好、提供安全防护措施的主机服务商,例如启用HTTPS/SSL、防火墙等。更改默认数据库前缀,增加攻击者入侵的难度。正确设置文件权限,防止恶意代码的执行。
使用流量防火墙保护
对于流量较小的WordPress站点,宝塔面板集成的防火墙插件是一个非常好的选择。它不仅安装便捷,而且能提供基础的DDoS防护、IP封禁、端口安全等功能。
定期扫描恶意软件
黑客常常会在不引人注意的情况下向WordPress网站植入恶意软件,这些软件可能会窃取用户数据、重定向流量或用来发动其他攻击。定期进行恶意软件扫描有助于及时发现潜在威胁,防止攻击发生。
主要不要使用来源不明的乱七八糟的插件,尽量少用插件,一般做完上面这些措施能大大加强你都wp安全性!
