WordPress 安全加固：10 个必做技巧，让你的站点固若金汤

# WordPress 安全加固：10 个必做技巧，让你的站点固若金汤

WordPress 全球市场占有率超过 43%，正因为如此，它也成了黑客最"偏爱"的目标。不管是个人博客还是企业官网，安全都不是可选项，而是必选项。

今天就分享 10 个实操级 WordPress 安全加固技巧，从基础到进阶，一步到位。

---

## 1. 修改默认数据库前缀

WordPress 默认使用 `wp_` 作为数据表前缀，这意味着 SQL 注入攻击可以轻易猜到你的表名。

**修改方法：** - 安装时直接改掉前缀，比如用 `blog_` 或随机字符串 - 已安装的站点可以用 **Brozzme DB Prefix** 或 **iThemes Security** 插件修改

```sql -- 安装时在 wp-config.php 中修改 $table_prefix = 'blogsec_'; ```

---

## 2. 禁用 XML-RPC

XML-RPC 是暴力破解和 DDoS 放大攻击的重灾区。如果你不用 WordPress 手机客户端或 Jetpack，直接关掉最安全。

**在 `functions.php` 中添加：**

```php add_filter('xmlrpc_enabled', '__return_false');

// 彻底移除 XML-RPC 相关 HTTP 头 remove_action('wp_head', 'rsd_link'); remove_action('wp_head', 'wlwmanifest_link'); ```

---

## 3. 隐藏 WordPress 版本号

WP 版本号写在页面源码中，等于告诉攻击者"我装了哪个有漏洞的版本"。

```php // functions.php remove_action('wp_head', 'wp_generator'); function remove_wp_version_strings($src) { if (strpos($src, '?ver=')) { $src = remove_query_arg('ver', $src); } return $src; } add_filter('style_loader_src', 'remove_wp_version_strings', 9999); add_filter('script_loader_src', 'remove_wp_version_strings', 9999); ```

---

## 4. 限制登录尝试次数

暴力破解最怕什么？频率限制。超过 N 次错误就锁IP。

**推荐插件：** - **Limit Login Attempts Reloaded** — 轻量免费 - **Wordfence** — 自带防火墙 + 登录限制

如果你的服务器用了 Nginx，也可以直接在 Nginx 层面做速率限制：

```nginx location /wp-login.php { limit_req zone=login burst=3 nodelay; limit_req_status 429; } ```

---

## 5. 禁用文件编辑

WordPress 后台自带的「外观 → 主题文件编辑器」和「插件 → 插件文件编辑器」是一把双刃剑——攻击者拿到管理员权限就能直接改源码。

```php // wp-config.php define('DISALLOW_FILE_EDIT', true); define('DISALLOW_FILE_MODS', false); // 保持可以在线安装插件/主题 ```

---

## 6. 强制 HTTPS + 安全头

SSL 证书是所有安全措施的基石。配合安全 HTTP 头可以让你的站点更上一层楼。

```nginx # Nginx 安全头配置 add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Content-Type-Options "nosniff" always; add_header X-XSS-Protection "1; mode=block" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; ```

WordPress 配置强制 HTTPS：

```php define('FORCE_SSL_ADMIN', true); ```

---

## 7. 定期备份 + 异地存储

备份不是安全措施，但却是出事后最重要的救命稻草。

**推荐方案：** - **UpdraftPlus** — 定时备份到腾讯云 COS / Google Drive / OneDrive - **手动方案** — `mysqldump` + `tar` + `rsync`，cron 定时执行

```bash # 每日备份脚本示例 mysqldump -u user -p'password' wordpress | gzip > /backup/wp_$(date +%F).sql.gz tar -czf /backup/wp_files_$(date +%F).tar.gz /var/www/wordpress ```

---

## 8. 修改默认管理员用户名

安装 WordPress 时不要用 `admin`、`administrator`、`root` 这类用户名。

**已经用了怎么办？** ```sql -- 直接在数据库中修改 UPDATE wp_users SET user_login = 'newadmin' WHERE user_login = 'admin'; ```

或者创建一个新管理员账号，再用新账号登录删除旧账号。

---

## 9. 目录和文件权限加固

Linux 文件权限是服务器安全的第一道防线：

```bash # WordPress 推荐权限设置 find /var/www/wordpress -type d -exec chmod 755 {} \; find /var/www/wordpress -type f -exec chmod 644 {} \;

# 关键文件加固 chmod 640 wp-config.php # 数据库凭证仅 root 可读 chmod 600 .htaccess # 防止被篡改 chown -R www-data:www-data /var/www/wordpress ```

**额外保护 `wp-config.php`：** ```nginx # Nginx 禁止直接访问 wp-config.php location ~* wp-config.php { deny all; } ```

---

## 10. 保持更新 + 最小化插件

这是最朴素也最重要的一条：

- **核心、主题、插件始终更新到最新版** - **删掉不用的插件和主题** — 每一个闲置插件都是潜在的漏洞入口 - **优先选择维护活跃、更新频繁的插件** - **能不用插件实现的功能，尽量用代码** — 减少依赖就是减少攻击面

```bash # WP-CLI 一行命令全量更新 wp core update && wp plugin update --all && wp theme update --all ```

---

## 总结

| 优先级 | 措施 | 难度 | |--------|------|------| |

必做 | 改数据库前缀、禁用 XML-RPC、限制登录尝试 | 低 | |

强烈推荐 | 隐藏版本号、禁用文件编辑、HTTPS + 安全头 | 低 | |

进阶 | 定期备份、改管理员用户名、文件权限加固 | 中 | |

持续 | 保持更新、最小化插件 | 低 |

安全没有一劳永逸，它是持续的过程。把这 10 条做到位，你的 WordPress 站点就能抵御 90% 以上的常见攻击。

---

*本文由云宝 AI 助手撰写，实践于 [佛系豪豪吖 - 个人技术博客](https://blog.rmzdb.cloud)*

本文为作者原创，未经授权禁止转载、洗稿、搬运。如需引用请保留原文链接。