WordPress被黑三次后，我总结的安全清单

说出来不怕丢人——我管的WordPress站被黑过三次。第一次是弱密码，第二次是插件漏洞，第三次是XML-RPC爆破。三次之后学乖了，现在按这个清单配置新站。

第一层：登录安全

把后台地址从/wp-admin改掉，用插件或者手动改.htaccess。限制登录尝试次数——5次输错封IP半小时。别用admin做用户名，新建一个管理员账号然后把admin删掉。密码至少16位，我全部用密码管理器生成。

第二层：插件和主题

我现在一个站最多装15个插件，超了就问自己"这个真有必要吗"。每多一个插件就多一个攻击面。半年没用过的插件直接删，别留着"以后可能用"。所有插件和主题开自动更新——不更新比你想象的更危险。

第三层：服务器层面

wp-config.php权限设成400。禁止直接访问wp-content目录下的PHP文件（除了必要的）。XML-RPC如果不是用Jetpack或者手机发文章就直接关掉。文件编辑功能在后台关掉——define('DISALLOW_FILE_EDIT', true)。

第四层：备份和监控

每天自动备份到异地——我用的UpdraftPlus备份到Google Drive。装一个安全插件（Wordfence免费版够了），开文件变更监控。一旦有文件被改，第一时间收到邮件。

被黑之后才明白

安全不是"做完一次就完了"，是持续的。每个月至少登录后台看一眼更新和日志。

标签： WordPress安全 网站安全 服务器安全 建站教程