wordpress网站的常规安全设置经验分享
以下设置全部基于「0成本插件 + 服务器配置」两条线,郑州本地虚拟主机/云服务器(阿里云轻量、腾讯云 CVM、景安等)均亲测有效,按清单一次性操作,30 分钟能把 90 % 的常规漏洞堵死。
一、WordPress 内核层(5 分钟)
账号
– 删除默认 admin,新建一个「编辑器」级日常发稿账号,管理员账号名字别出现在前端。
口令 & 2FA
– 所有账号 16 位随机码(1Password / Bitwarden 自动生成)。
– 装「WP 2FA」或「Wordfence」→ 开 TOTP 双因子,失败 3 次锁 30 分钟 。
登录入口隐藏
– 插件「WPS Hide Login」把 /wp-admin 改成 /xxx123(自定义),同步把 404 跳首页。
版本号 & 指纹擦除
– 主题 functions.php 加 remove_action(‘wp_head’,’wp_generator’);
– 隐藏 css/js 版本参数:
add_filter(‘style_loader_src’,’remove_ver’); add_filter(‘script_loader_src’,’remove_ver’);
后台文件编辑禁用
– wp-config.php 追加:
define(‘DISALLOW_FILE_EDIT’,true); define(‘DISALLOW_FILE_MODS’,false); //保留更新
二、文件/目录权限(Linux 面板 3 分钟) SSH 进项目根目录一次性执行:
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
chmod 600 wp-config.php
chmod 400 .user.ini / php.ini # 如存在说明:uploads 目录下再建 .htaccess(Apache)或修改 Nginx 配置,禁止 PHP 执行 :
<Files *.php>
deny from all
</Files>三、wp-config.php 加固(2 分钟)在 /* That’s all… */ 之前追加:
/* 强制 SSL 后台 */
define('FORCE_SSL_ADMIN', true);
/* 关闭在线安装/编辑(上线后可视情况开启) */
define('DISALLOW_FILE_MODS', true);
/* 禁用 XML-RPC 暴力入口 */
add_filter('xmlrpc_enabled', '__return_false');
/* 限制内存,防 DoS */
define('WP_MEMORY_LIMIT','256M');
/* 安全密钥 – 到 https://api.wordpress.org/secret-key/1.1/salt 复制最新 */并确保表前缀不是 wp_,装 Better WP Security 可一键改 。
四、数据库与备份(5 分钟)
建立独立 MySQL 用户,只给 SELECT/INSERT/UPDATE/DELETE,不给 DROP/ALTER 。
用「UpdraftPlus」设北京时间 02:30 自动备份:数据库 + plugins/themes/uploads,推送到阿里云OSS(免费 5 GB)或 Google Drive。
每月手动做一次裸机快照(云厂商控制台 0 费用),保留 2 份循环。
五、免费 WAF / CDN 层(10 分钟)
Cloudflare 免费版:
– 开「Always HTTPS」「Security Level: Medium」「Bot Fight Mode」。
– Page Rule 1:/wp-admin* → Security Level: High + Cache Level: Bypass。
服务器防火墙(以 Ubuntu UFW 为例):
ufw default deny incoming
ufw allow 22/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable若用宝塔面板,在「网站→防火墙」里把「UA 禁爬」「防跨站」「CC 1 分钟 60 次」全部打开即可。
六、插件与更新策略 – 装插件「WP Updates Settings」:核心小版本自动更新,主题/插件手动确认。
– 每季度审计一次:删除停用未再用的,评分 < 4 星或 2 年未更新的直接找替代。
– 上线前在本地用「WP Scan」跑一遍 CVE 库,有高危漏洞不上线。
七、郑州本地加速小技巧 – 把「腾讯 COS+CDN」或「阿里云全站加速」当源站放在华北-北京,回源走内网,Ping 能压到 20 ms 以内,比裸机快 1 倍。
– 数据库开 Redis 缓存(宝塔 1 键安装),TPS 可翻 3 倍,后台明显不卡。
八、日常运维日历
| 周期 | 动作 | 工具 |
|---|---|---|
| 每天 | 登录邮件告警 | Wordfence → Scan + Live Traffic |
| 每周 | 手动备份下载到本地硬盘 | UpdraftPlus |
| 每月 | 核对新增用户&文件变更 | Wordfence File Scan |
| 每季度 | 改一次 salts,换后台地址 | WPS Hide Login |
只要按上面「8 大步」一次性配完,郑州中小企业 WordPress 站点即可达到:
– 暴力破解成功率 ≈ 0(2FA+限次+隐藏入口)
– 上传挂马率下降 95 %(目录权限+禁止 PHP)
– 30 分钟内可完整恢复(异地备份 + 快照)
后续若流量上到 5 万 IP/日,再把 Fail2Ban、ModSecurity、弹性 WAF 上齐即可平滑升级。
原文
http://www.dulizhan.hn.cn/jianzhan/191.html