9个极大提升WordPress网站安全的方法

不管你懂不懂wordpress程序开发，懂不懂 WordPress 网站中复杂的专有名词。你都可以通过做到下面这9件事来大大提升提升 WordPress 网站的安全性。

记住一句话，安全无小事！

1. 使用复杂安全性高的密码

不要再用生日、英文名字这么好记的密码了！也不要所有七七八八账号都用同一个密码，最近这些年经常会听到某某个大公司的数据库被黑客脱库了。如果你所有账号都是同一个密码的话，那么你的账号会很容易就被撞库给破解了。

推荐使用密码产生器，比如： 免费的 lastpass，收费的1password 等等。

2. 避免用 admin 作为用户名

通常一键安装 WordPress 程序时，预设的管理员用户名常常是 admin ，建议你可以到网站后台，左边菜单「帐号」去新增一个新的「管理员」权限的帐号，再把原本的 admin 帐号删掉，这样可以极大的增加wordpress安全。很多黑客工具都是利用 admin 作为账户名进行暴力破解的。

3. 隐藏Wordpress网站后台登录入口

通常 WordPress 网站的后台登录入口都是 wp-admin，这也是黑客工具默认的攻击路径。可以安装 https://wordpress.org/plugins/wps-hide-login/ 插件自定义一个后台登录路径，设置好之后，直接访问 https://example.com/wp-admin 的话，页面会直接返回 404.

4. 安装 Google Captcha 插件，防止恶意登入

安装 Google Captcha 插件，让你在登录后台的时候，多一步「实人认证」的步骤，可以防止恶意程序尝试用僵尸帐号暴力登入。

5. 尽量保持 WordPress、主题、插件都在最新版本

话虽这么说，但我也不建议你更新一出来，就手痒直接点下去，一定要先确定网站有备份，再执行更新。

通常我会等新版本发布后，过了两星期再执行升级，不要拖太久…

也有特殊情况，比如WordPress插件的重要安全更新，那么就需要立即更新到新版本。

比如前段时间 RankMath 这个WordPress免费SEO插件由于自身代码漏洞被黑客攻击了，攻击者会在 RankMath 中添加一些链接 redirect 到一个国外的购物网站，我当时一个网站就中招了。

我排查了好半天，一直找不到原因，那种感觉就像你放在家里的东西被人动过，但是你却始终搞不清粗这个人是怎么进来的。说实话，我好慌，差一点点我就准备重新安装了 WordPress 了。

后来在 WordPress.org 的论坛里面找到了类似的问题，下面 RankMath 官方回复说：这个问题是他们的锅，并且已经在新版本中修复了。

这个时候，我才突然想起来前几天邮件里面收到 RankMath 发来的关于安全问题的重要更新版本发布通知。

6. 不要用来历不明的插件与主题

尽量选择Wordpress官方提供的插件和主题，或者其他公信力高的主题，会相对安全很多。千万不要使用任何破解的插件或者主题，如果你不懂代码的话，你根本不知道它有没有被动过手脚。

7. 安装Wordfence加强Wordpress安全性

如果预算有限，可以安装免费版本的 Wordfence，虽然听说他比较吃资源一点，不过，以免费的服务来说，还是比较值得的！

8. 选择公信力高与评价好的主机

选择WordPress主机时，一定不要贪小便宜，使用免费或者低价主机商。始终记住一句话，便宜没好货。

主机费用其实是很简单的，你用得多，毫无疑问就得花更多的钱，不可能存在花小钱办大事的。

购买 WordPress 主机时，直接选择官方推荐的 BlueHost、SiteGround、a2hosting 主机绝对不会出问题，这些主机在安全性、稳定性上都是远超不知名主机商的。

不知道这3家主机怎么选？参考《WordPress主机推荐，教你选最适合你的主机》。

9. 确保网站的定期备份

有自动备份的功能是最好的，上文推荐的 Siteground 主机就有每三十天自动备份，是新手朋友最好的朋友、最强的安全屏障，天有不测风云、网站真的也有旦夕祸福啊… 遇到怪事时，会很感动自己有自动备份… 后台五分钟还原，换来一颗平静的心…

如果你已经用其他主机了，也没关系，就考虑看看用 Updraftplus 插件，免费版本即可设定自动备份存到 AWS 的 S3 或者Dropbox 等等云盘或者本地！

好啰！今天先分享到这边，希望这些提升WordPress安全的方法对大家的网站有帮助！