WordPress 支撑着互联网中极大的一部分,这也使它成为持续的攻击目标。好消息是,绝大多数 WordPress 被入侵的案例都利用了一小组可预测的弱点,而且几乎全部都可以预防。这份 WordPress 安全加固 清单将大致按优先级顺序,逐步介绍在 2026 年真正见效的措施。

要点速览

  • 有漏洞且过时的插件与主题是 WordPress 最大的攻击途径;有纪律的更新和移除未使用的代码比任何事情都重要
  • 强身份验证(唯一的管理员用户名、强密码、双因素认证、登录速率限制)能堵住第二常见的入口
  • 加固 wp-config.php、文件权限以及 REST API / XML-RPC 攻击面,并在站点前端部署 WAF
  • 定期备份并测试恢复;好的备份能把一次入侵从灾难变成小麻烦

1. 保持核心、插件与主题为最新

过时的插件与主题是 WordPress 站点被黑的头号原因。每个插件都是以访问你站点的权限运行的第三方代码。

  • 为 WordPress 核心启用自动更新(至少是次要版本)。
  • 及时更新插件与主题,最好按计划进行,并在预发布环境中测试。
  • 移除你不使用的插件与主题。停用还不够;删除才安全。
  • 只从信誉良好、维护记录活跃的来源安装插件。
  • 留意被弃用的插件;无人维护的代码即使还能运行也是隐患。

2. 锁定身份验证

针对 wp-login.php 的暴力破解和凭据攻击从不停歇。

  • 绝不使用 admin 作为用户名。使用唯一的管理员名称。
  • 为每个账户强制使用强而唯一的密码。
  • 为所有管理员和编辑账户启用双因素认证(2FA)。
  • 限制登录尝试次数,并加入速率限制以阻止暴力破解尝试。
  • 考虑更改或保护登录 URL,并加入 CAPTCHA 验证。

3. 应用最小权限的用户角色

  • 给每个用户能完成其工作的最低角色。不是每个人都需要成为管理员。
  • 定期审计用户账户,移除离职员工和未使用的登录。
  • 在安装添加自定义能力的插件后,重新审查角色。

4. 加固 wp-config.php

wp-config.php 保存着你的数据库凭据和密钥,因此值得特别关注。

  • 设置唯一的身份验证密钥和盐值(salt)。
  • 禁用内置文件编辑器:define('DISALLOW_FILE_EDIT', true);,这样获得管理员访问权限的攻击者也无法从仪表盘编辑主题和插件代码。
  • 在托管配置允许的情况下,将 wp-config.php 移到网站根目录的上一级,并限制其文件权限。
  • 在生产环境中保持 WP_DEBUG 处于禁用状态,以免错误泄露信息。

5. 设置正确的文件与目录权限

  • 目录 755、文件 644 作为标准基线;绝不使用 777
  • 确保 Web 服务器用户拥有这些文件,但无法在不需要的地方写入。
  • 保护敏感文件并禁用目录浏览。

6. 缩小攻击面:XML-RPC 与 REST API

  • 如果不使用就禁用 XML-RPC;它是常见的暴力破解和 DDoS 放大途径。
  • 在 REST API 暴露你不想公开的数据之处,对其进行限制或要求身份验证。
  • 从页面输出中移除 WordPress 版本号及其他不必要的信息披露。

7. 在前端部署 WAF 与 HTTPS

  • 通过 HTTPS 提供整个站点,并重定向所有 HTTP 流量。
  • 添加安全响应头(HSTS、X-Content-Type-OptionsX-Frame-Options 或采用 frame-ancestors 的 Content-Security-Policy,以及在可行时的 CSP)。
  • 使用 Web 应用防火墙。像 Cloudflare 这样的 CDN 层级 WAF 会在恶意流量到达 WordPress 之前进行过滤,并吸收机器人和 DDoS 的压力。

8. 数据库与托管加固

  • 在新安装时使用非默认的数据库表前缀。
  • 使用仅具备 WordPress 所需权限的专用数据库用户。
  • 让 PHP 保持在受支持的当前版本;生命周期结束的 PHP 是无声的风险。
  • 选择能隔离站点并为服务器技术栈打补丁的托管服务。

9. 监控、备份与恢复

  • 运行恶意软件和文件完整性扫描,以便快速发现意外更改。
  • 启用安全日志,以便你能看到登录尝试和更改。
  • 进行定期、自动、存放于服务器之外的备份,并测试其恢复。未经测试的备份只是希望,而非计划。

关键要点

  • 最大的收益并不光鲜:更新一切、移除未使用的插件与主题,并用 2FA 强制执行强身份验证。
  • 加固 wp-config.php、文件权限以及 XML-RPC / REST API 攻击面,以缩小攻击面。
  • 在站点前端部署 HTTPS、安全响应头与 WAF。
  • 定期备份并测试恢复,使一次入侵可被恢复。

专业的 WordPress 安全加固

清单能带你走完大部分路程,但 WordPress 安全加固 仍然受益于专家的眼光。一次 WordPress 安全审计 会审查每个插件和主题,测试身份验证与访问,并检查 wp-config.php、数据库以及 REST API 和 XML-RPC 攻击面,产出一份按优先级排序的加固计划。若想了解覆盖整个站点与技术栈的更全面视角,请参阅面向英国企业的网站安全审计指南 。如果你的站点在加固之外还需要持续的开发与维护,一位 可雇用的 WordPress 开发者 可以长期保持其安全。

常见问题(FAQ)

WordPress 站点被黑最常见的方式是什么? 有漏洞且过时的插件与主题。第三方插件代码是最大的攻击途径,正因如此,及时更新和移除未使用的插件几乎比任何事情都重要。

我真的需要安全插件吗? 信誉良好的安全插件有助于恶意软件扫描、登录限制和监控,但它并不能替代基础工作:更新、强身份验证、最小权限角色和 WAF。请在良好的安全卫生之上叠加使用它,而不是取而代之。

我应该禁用 XML-RPC 吗? 如果你不使用它(例如用于移动应用或某些集成),那么应该禁用。XML-RPC 经常被滥用于暴力破解和 DDoS 放大,因此禁用它能移除一个常见的攻击面。

我应该多久备份一次 WordPress 站点? 频率要足以让你不会丢失有意义的数据,活跃站点通常每天一次,并存放于服务器之外。关键在于:测试你的恢复;一份从未恢复过的备份是未经验证的。

Cloudflare 足以保护 WordPress 吗? 像 Cloudflare 这样的 CDN 层级 WAF 会过滤大量恶意流量并吸收机器人和 DDoS 的压力,但它无法修复有漏洞的插件、弱密码或错误配置。请把它作为与站内加固并行的一层来使用。