自助检查

大多数时候，运行 WordPress 的网站被黑客入侵的罪魁祸首并不是 WordPress 本身，而是在开发过程中可以避免的任何愚蠢的错误配置。这就是为什么要创建此列表的想法：作为您（站长）在网站上线前和定期维护时，应进行核验并采取的行动清单，以提高网站的安全性。

Login Page 登录页面（9）

锁定登录页面以防止重复登录失败（登录锁定或iThemes Security）

激活双因素（2 factor）身份验证（Google Authenticator）

使用邮箱而不是用户名登录（强制邮箱登录）

重命名登录页面的URL（iThemes Security或直接在.htaccess上）

  从主题中删除后台登录链接（如果有的话）

在所有帐户上使用包含大写，小写，数字和特殊字符的强密码（密码生成器）

  定期修改网站管理员账户密码

使登录错误消息更通用（用户/通过）（教程）

如果不使用，请禁用 WP REST API。（禁用REST API）

---

Administrative Panel 后台面板（8）

密码保护文件夹 /wp-admin（仅取消阻止所需的文件）

 始终保持 WordPress 版本最新

不使用用户名 admin 创建帐户。如果有，请创建一个新的管理员帐户并删除旧的管理员帐户

创建一个编辑（Editor）帐户并将其仅用于发布文章内容

访问后台=工具=站点健康，解决已提示问题

为 WordPress 全站实施部署 SSL 证书 https 加密访问

安装任何安全防护插件来检查文件更改（WP Security Scan，Wordfence或iThemes Security）

  扫描网站是否存在病毒，恶意软件和安全漏洞

 

---

Themes 主题（5）

保持 WordPress 主题为最新

删除和删除未使用的多余主题（系统默认主题除外）

使用或创建子主题来保留代码等个性化修改

使用正版主题，仅从可信来源下载和使用主题

从主题中删除 WordPress 版本信息（教程）

---

Plugins 插件（5）

保持所有 WordPress 插件为最新

  删除和删除未使用的闲置插件

  使用正版插件，仅从可信来源下载和使用插件

  将过时的插件替换为可替代的较新插件

在安装或启用大量插件之前，请三思后行

---

Database 数据库（3）

更改默认表前缀（教程）

安排数据库的每周备份（BackupWP，WP DB Backup等）

为数据库用户使用包含大写，小写，数字和特殊字符的强密码（密码生成器）

---

Hosting 托管服务提供商（8）

  采购可靠的主机服务提供商

采用最新版的 PHP 和 MySQL 数据库版本

仅通过 SFTP 或 SSH 连接到服务器

将所有文件夹权限设置为755，将文件权限设置为644（根据 Codex 文档）

确保其他人无法访问 wp-config.php 文件

通过 .htaccess 删除或阻止文件 license.txt，wp-config-sample.php和 readme.html

  通过添加以下代码，通过wp-config.php禁用文件编辑： define('DISALLOW_FILE_EDIT',true);

  通过添加以下代码来防止通过.htaccess列出目录： Options All -Indexes

最后修订于 [wpbb post:modified_date format=”]