如何保证你的WordPress网站安全

WordPress是一款非常流行的CMS系统，市面上安装占有率一直遥遥领先。正因为如此，其更易受到各种攻击，因此WordPress安全性是非常重要的。卓网信息将针对如何保证你的WordPress站点安全问题，从服务器与及WordPress本身进行讲解,进而避免网站被攻击者攻破。

服务器篇

1、禁用目录索引

如果你的主机没有开启禁止目录索引功能，请加上以下语法，以保护没有index目录的目录，避免被恶意者下载网站全部内容。

2、启用HTTPS SSL加密

HTTPS 可阻止第三方监听或修改客户端和服务器之间通信的中间人攻击。理想情况下，应该在安装 WordPress 前激活 HTTPS，如果在安装后再添加，可能需要额外更新 WordPress 设置。

3、设置请求大小限制

避免黑客通过Dos攻击，利用传输大文件来冲爆你的流量，所以可以通过限制文件流大小来防止这样的情况发生，将以下语法加入到根目录的.htaccess文件中即可。如下设置为10M，可按自身业务情况进行设置。

4、禁用不必要的模块

根据自身业务，禁用一些多余的模块。

5、隐藏您的Apache或Nginx的版本

攻击者往往通过Apache或nginx版本信息进行针对性攻击，所以需第一时间隐藏它的版本信息。

6、保持PHP最新

7、隐藏PHP版本

防止攻击者针对性的PHP版本漏洞攻击。

8、控制POST和内存请求的大小

防止攻击者使用大流量请求造成DDoS攻击。

9、保持MySQL最新

10、禁用MySQL远程访问

防止攻击者远程连接MySQL数据库，在my.cnf（Linux）my.ini(Windows)添加如下代码。

11、禁用FTP服务器(服务器)或只允许特定的IP访问它

12、良好的备份习惯

WordPress篇

1. 时常保持你的WordPress和插件更新。

2. 谨防虚假或可疑的主题和插件。

3. 只使用已知的、合格的插件。

4. 切勿使用默认用户“admin”。

方法一：后台新建一个用户，角色为管理员，然后使用新用户登录，删除默认的 admin 用户。

方法二：登录phpmyAdmin，浏览当前数据库的 wp_users 数据表，将 user_login 和 user_nicename 修改为新用户名。

建议在后台管理中“我的个人资料”中的昵称，设置“公开显示”为非用户名的昵称。

5. 使用超过8位数的强密码，大写和小写字母，特殊字符和数字。

6. 禁用“任何人都可以注册”选项。

根据业务需求来决定是否禁用此选项。

7. 删除readme.html和install.php文件。

8. 使用双因素身份验证登录。

9. 安装网站安全防护软件或者硬件waf防火墙。

10. 隐藏您的WordPress的版本，使用以下方法：

在header.php文件中删除以下行：

或添加此代码到您的functions.php文件

11. 通过.htaccess保护“wp-config.php”文件。

修改根目录下的.htaccess文件，加入以下代码。代码大意是：禁止所有人进行浏览（不包括主机的程序）。

12. 更改默认的管理员访问目录“wp-admin”。

13. 避免让重要的文件暴露。

14. 将敏感的目录和文件放在robots.txt中以避免网页抓取（蜘蛛抓取）。

15. 限制登录尝试的次数，避免暴力破解攻击。

16. 只要确定你的网站安全且文件完好无损，请进行原始备份。

18. 限制ip登录后台管理。

防止攻击者获取到的管理员账号密码非法登录后台。如有固定ip，则通过向wp-admin文件夹下添加.htaccess 文件来限制ip访问，代码如下：