提升wordpress网站安全性都需要做哪些设置

WordPress程序是迄今为止最流行的博客平台。正由于它的流行，也因此带来了正面和负面的影响。事实上，几乎每个人都使用它，使它更容易被发现漏洞。WordPress的开发人员做了很多工作，一旦新的缺陷被发现，就会发布修复和补丁，但这并不意味着你可以安装完就置之脑后。

有些人攻击行为比较简单粗暴，这些行为都很容易被发现，但是最糟糕的是那种潜入内容的行为，它们会将钓鱼网站深入到文件夹结构，或使用你的服务器发送垃圾邮件，一旦你安装的WordPress被破解，可能需要删除所有内容并从头重新安装，这是最糟糕的，今天小九就和大家一起来研究下如何提升wordpress网站安全性。

可靠的主机商

主机商的重要性就无需多言了，一家靠谱的主机商会让你觉得和使用家用电脑一样轻松。那些不靠谱的主机商物理机丢在低端机房，要防火墙没防火墙、系统也不更新，软件也没人管，漏洞更加不会堵，搞不好压根就没有人维护。

现在wordpress的攻击已经高度程序化、自动化了，不论网站大小，全部自动扫描，一旦被攻破，你的网站已经不再属于你了~不过主机的费用还是你的。

那么需要如何做呢？首先永远不用“免费”主机，这种服务商自己就是半个黑客，练手的就不说了，其次要选用具备安全措施的主机，预算不多的的就用基本款，对普通网站也够用了，国内可以选阿里云、腾讯云这些，另外阿里云1000元优惠券可以领取,详细介绍请看《阿里云最新代金券领取及最全阿里云优惠活动汇总2019》，国外主机可以看下《国外最好用的WordPress主机推荐》这篇文章。

设置WordPress自动升级

WordPress安全吗？相对安全。WordPress完美吗？不完美。越流行，越容易被盯上，越被盯上暴露的问题越多，这既是坏事也是也是好事，就像windows系统的攻击就远多于linux，安卓的漏洞也远高于IOS。所以关键是要保持系统更新，自动更新WordPress核心，插件和主题。核心代码，流行插件和主题，几乎每天都在迭代，不少都是修复安全漏洞，曾经就有极速修复的例子。长期不更新，版本落后会留下安全隐患，理论上被黑只是时间问题。保持核心，插件，主题自动更新，能防患于未然，更新不只填补漏洞本身，有时还强迫黑客程序重写，更改攻击机制，从而增加攻击难度。

那么需要怎么做呢？小九向大家推荐一款安装自动更新插件Companion Auto Update，通过这个插件可实现无人值守的WordPress核心，插件和主题自动更新。

设置wordpress自动备份

做维护就要作最坏打算，定期自动备份整站，一旦网站被黑，至少有数据可以恢复，留得青山在。最糟糕的情况是受了攻击，网站彻底变肉鸡，却发现无法备份，之前也没有留任何备份，那时就真的欲哭无泪了。

小九之前专门分享过一篇文章《WordPress数据库备份管理插件：WP-DBManager》，里面介绍了几个常用的wordpress做备份的方法，大家可以照着做一下。

通过工具自动安全扫描

网站有没有被渗透，靠肉眼是很难发现的，因为很多渗透有时没有什么现象也没有什么征兆，当然了更不能靠感觉靠猜，那么需要具体做些什么呢？可以安装安装安全插件WordFence，这款插件很强大，也是目前最主流的wordpress安全插件，这款插件除了自动扫描还有很多功能，大家可以查看 《Wordfence Security主要功能和使用详解》文章。

启用过滤垃圾评论

多数垃圾评论的目的并非打广告这么简单，而是把评论内容写得像广告，实际嵌入了恶意代码进行XSS攻击，这样的评论如果流入正常用户的浏览器，就有可能带来危害，如果是权限较高的用户，网站就可能被渗透。所以大家装好WordPress立即打开Akismet插件，审核用户评论，在设置->讨论中可以配置。

降低插件使用风险

非官方的插件危险系数高，不可随便下载安装，先确认插件源可信。有一点也需要大家注意，安装的插件不激活，不代表没有风险，因为代码漏洞不依赖插件是否激活。那么需要怎么做应对呢？首先尽量从官网安装插件，避免从不明来历第三方网站下载插件，其次及时删除不用的插件，尽量避免在生产环境测试插件，控制插件使用数量。

用安全性更高的管理员帐号

当你的网站有了些流量，通过请求监控，你会发现总有几个熟悉的IP反复访问/wp-admin，这些访问一般来自黑客的肉鸡，请求是肉鸡上的自动脚本在猜你的登陆帐号密码。

WordPress系统默认安装是采用admin账号，不过后来的版本允许使用者自行选择网站管理员账号，以避免恶意用户想要尝试admin登入网站。如果你本身已经使用admin，请赶快换账号吧！不然黑客轻易的就可以猜到你账号，接下来猜出密码应该很快了。另外建议使用Limit Login Attempts强化登入安全，当然您也要设一个不易猜出的密码。还有一种是修改wp-admin.php登陆地址，具体方法请查看《如何修改WordPress网站后台默认登录地址wp-admin》这篇文章。

使用https协议

一般来说，后台登录输入的用户名密码不应明文传输，尤其当你使用代理时，敏感信息可能被中间人截获。配置web服务器，打开SSL证书，虚拟主机一般都提供免费SSL证书，点点鼠标就能搞定。如果用VPS也可以用Let's Encrypt生成，不会的可以看一看这篇文章《一键部署Let's Encrypt免费SSL证书》，把所有http流量自动重定向到https。

关闭XML-RPC

XML-RPC是WordPress向外暴露的调用，Pingback和Trackback功能依赖这组调用，但会被黑客程序拿来来做蛮力攻击或者DDos。可以安装Disable XML-RPC插件，可彻底关闭XML-RPC。普通网站Pingback和Trackback功能意义不大，所以关掉XML-RPC也没有关系，除非你确定它需要打开。

最后各位还是要做好个人的账号密码保护，另外也别在不明的网络、计算机乱登入网站，这都可能造成帐密外泄，除此之外，再次提醒，使用以上方法只会加强WordPress安全，但无法保证百毒不侵，仍有机会遭受到黑客入侵，通常状况可能是您帐密外泄、网站插件、主题有漏洞、系统有不明的漏洞，还有目录权限设定不正确等等的状况，各位还是要多多注意。