零基础WordPress安全加固防黑防攻击教程

知识分享

2026-06-03 01:00

3 阅读

加固前你要准备什么

执行安全加固前，请确认以下几点：

WordPress 被入侵，大半原因是文件权限过于宽松。
操作如下：

find /www/wwwroot/example.com -type d -exec chmod 755 {} \;
find /www/wwwroot/example.com -type f -exec chmod 644 {} \;

chmod 600 /www/wwwroot/example.com/wp-config.php

效果：权限收紧后，普通用户无法写入或修改文件，阻止大部分文件上传型攻击。

WordPress 默认开放了一些容易被攻击者利用的功能，建议关闭：

location = /xmlrpc.php {
    deny all;
}

隐藏管理员登录用户名：不要在用户名中使用“admin”这类常见词。可以在 WP 后台 → 用户 → 新建用户（设置管理员角色），然后删除原来的 admin 账号。
移除版本信息：编辑主题的 functions.php 文件（通过宝塔面板的文件管理），添加一行：

remove_action('wp_head', 'wp_generator');

暴力破解是最常见的攻击方式，强化登录能大幅降低风险：

更换默认登录地址：安装插件“WPS Hide Login”，设置一个自定义路径（例：/myadmin），原 /wp-admin 会返回 404。
安装登录验证插件：推荐“Limit Login Attempts Reloaded”，限制每分钟尝试次数，例如 3 次后锁定 15 分钟。
使用强密码：要求所有用户使用 12 位以上大小写字母+数字+符号的组合，不嫌麻烦可以启用两步验证（Google Authenticator）。

修改数据库表前缀：安装 WordPress 时默认 wp_。如果你已经装好，需要手动修改 wp-config.php 中的 $table_prefix，并用 phpMyAdmin 或者宝塔的数据库管理工具重命名所有表。
及时更新插件和主题：过期的插件的漏洞是入侵的主要入口。在宝塔的“计划任务”中添加一条每天自动检查更新的 shell 命令：

/usr/bin/wp-cli plugin update --all --allow-root --path=/www/wwwroot/example.com

改了权限后网站无法访问：如果执行了 chmod 644 后页面报 500 错误，检查是否把 wp-config.php 权限设成了 600（正确）。如果问题还在，把目录权限改回 755，文件改回 644，然后重新检查网站根目录下存在 .htaccess 或 nginx.conf 是否被锁。
禁用 XML-RPC 后正常插件无法使用：部分插件（如 Jetpack）依赖 XML-RPC。如果你刚需此类插件，改为使用“Application Password”方式连接，或者单独设置白名单 IP。
修改表前缀后数据丢失：如果直接用 phpMyAdmin 改前缀名，必须同步修改 wp-config.php 中的 $table_prefix，并且用 SQL 语句更新所有表中的 user_meta 等引用值。建议先用插件“Change Table Prefix”自动处理。

wpscan --url https://example.com --api-token YOUR_TOKEN

问：一定要用宝塔面板吗？
答：本文步骤兼容宝塔和纯命令环境，宝塔只是提供了更友好的文件管理入口，命令操作无需面板。

问：安全加固后会影响网站速度吗？
答：不会。文件和权限设置、禁用功能基本没有额外负载；登录限制只在攻击时生效。

问：已经中招了怎么办？
答：立即断开服务器网络，用备份恢复网站；如果没有备份，需要排查被篡改的文件（如插件文件、index.php），删除可疑用户，并修改所有密码。

问：多久做一次安全检查？
答：至少每周查看一次登录日志，每月用 wpscan 扫描一次。

如果你正在处理WordPress安全加固防黑防攻击，建议先按本文步骤完整执行一次，再根据自己的环境做微调；
遇到异常时优先回看避坑和高频问题部分。