1，不要将网站的备份文件留在服务器上

比如.zip，.tar，.gz等压缩包文件。用户如果通过猜测下载到网站备份文件就可以看到wp-config.php里的各种数据库信息。如果下载到主题文件，可以弄清网站后台的业务逻辑。从而实行针对性攻击。

2，选择一个好的服务器供应商

选择本国口碑最好的服务器供应商。他们提供的服务器与廉价的服务器相比，能提供更稳定，更安全的服务。比如有些好的服务器供应商免费提供 DDoS 防护、木马查杀、防暴力破解等服务。攻击开始还未到网站层面就已经被拦下了。

3，慎用第三方主题

自己开发主题。自己开发的主题心里清楚怎么回事。
要么使用更新频率高、安装率高、评分高的wordpress主题库里的主题。这样的主题会及时补上自己的安全漏洞。

否则网上随便下载的主题或者被破解过的主题会很容易被黑客利用。

4，慎用第三方插件

能自己开发的功能绝对不要用第三方插件来实现。跟上述第三方主题一样，很容易会成为被攻击对象。

5，不要使用弱口令（弱密码）

WordPress默认是不防御暴力破解。若使用弱口令（弱密码），攻击者很快就能登录后台。而使用复杂的强密码可以延长攻击者的暴力破解时间以达到更高的防御能力。

除了英文字母和数字，混入一些特殊符号可使密码的复杂度更高，安全性更高。

6，如果不需要再更改主题，可禁用主题和插件编辑器

wp-config.php的结尾处添加：

define('DISALLOW_FILE_EDIT', false);

这样就无法在后台编辑主题或者插件了。如下图所示：

7，安装SSL证书，使网站支持https访问

如果没有SSL证书，用户的web浏览器和web服务器之间的所有数据都将以纯文本形式传递。这可以被黑客截获。通过使用SSL证书，敏感信息在其浏览器和服务器之间传输之前会被加密，从而使其更难读取，使网站更安全。

8，更改登录地址或者登录逻辑

默认的登录页面是/wp-login.php。我们可以禁用这个地址，这样可以避开很多扫描器的扫描。另外创建一个只有自己知道的页面作为登录页面。

如果使用默认的登录页面进行登录，我们可以增加一些登录难度，比如添加图片验证码，除了账号密码还需要通过验证码的验证。

也可以在新作的登录页面中通过短信验证的方式进行登录。

这部分做法稍微复杂，这里就不讲具体制作方式了，大家可以通过上面的指导意见自行学习如何提高登录页面的安全性。

9，设置尝试登录次数

设置规定时间之内只能进行有限次数的登录操作。比如连续输错5次密码封禁IP一天或永久封闭等。以防止攻击者进行暴力破解操作。

10，限制用户访问敏感文件

通过像.htaccess添加规则来限制用户直接访问指定文件。下面的规则只允许112.125.123.110 16.203.22.123这两个IP访问wp-config.php文件。

<Files wp-config.php>
order deny,allow
deny from all
allow form 112.125.123.110 16.203.22.123
</Files>

11，及时更新服务器环境及Wordpress版本

这个就不用多说了，通常版本的升级都有涉及到安全漏洞的修复。

12，root敏感文件及文件夹

如果操作服务器方便，当每次更新完wordpress之后，除了wp-content的uploads文件夹外，其他的文件及文件夹的权限改成root。这样文件就不容易被修改了。

13，不要用admin作为账号名称

暴力破解时，攻击者往往会最先使用admin作为第一破解对象。

相关阅读：

https://10.1pxeye.com/wordpress%e9%98%b2%e5%be%a1%e5%9e%83%e5%9c%be%e8%af%84%e8%ae%ba%e7%9a%84%e6%96%b9%e6%b3%95%e4%b8%80%e5%88%99/

https://10.1pxeye.com/x-frame-optionsstrict-transport-securityx-xss-protectionx-content-type-optionscontent-security-policyreferrer-policyfeature-policy/

https://10.1pxeye.com/wordpress%e5%9c%a8%e8%b4%a6%e5%8f%b7%e6%9c%aa%e7%99%bb%e5%bd%95%e6%97%b6%e7%a6%81%e7%94%a8wp-json-wp-v2/