WordPress网站防黑加固
为什么你的WordPress总被黑?新手必看的前置准备
很多新站长把网站做好后,只关心内容和插件,忽略了最基础的WordPress网站防黑加固。
实际上80%的入侵都来自文件权限过大、使用弱密码、或者残留的测试账号。
在开始操作前,请先确认以下条件:
- 你有一个能通过宝塔面板或SSH连接的服务器(本文以宝塔面板为例)
- 已经备份好数据库和网站文件(防止误操作)
- 准备好一个记事本,记录每一步修改前后的值,方便回退
第一步:收紧文件权限,堵住最大后门
文件权限是入侵者最常利用的入口。
在宝塔面板中,进入“文件”页面,找到你的WordPress根目录(通常是/www/wwwroot/你的域名),执行以下操作:
- 除
wp-content/uploads目录外,将所有目录权限设为 755,将所有文件权限设为 644。
- 宝塔里可以勾选所有文件夹 -> 批量设置权限。
- 重点保护
wp-config.php,将它权限设为 600(只有所有者可读写)。
- 选中文件 -> 权限 -> 输入600 -> 确定。
- 禁止直接访问
wp-admin目录下的特殊文件,例如install.php、upgrade.php。在Nginx配置或宝塔“网站 - 设置 - 配置文件”中添加:
location ~* /wp-admin/(install|upgrade)\.php$ {
deny all;
}为什么要这样做? 644/755是Linux标准安全权限,能防止其他系统用户或恶意脚本修改你的核心文件。wp-config.php包含数据库密码,必须极端保护。
第二步:强化数据库和用户账户
入侵者拿到数据库就能为所欲为。
完成以下WordPress网站防黑加固动作:
- 改掉默认数据库表前缀:之前如果已经用了
wp_,现在可以手动重命名(注意备份)。或者使用插件如“Change Table Prefix”一键修改。 - 修改默认管理员账号:新建一个具有管理员权限的新用户(用户名不要是admin或admin类似),然后删除旧管理员。
- 强制使用强密码:安装“Strong Password Generator”插件,或修改
wp-config.php,在文件末尾添加一行:
define('FORCE_SSL_ADMIN', true);同时保证WordPress用户密码长度超过12位,包含大小写、数字和符号。
第三步:禁用PHP文件执行和无用插件
很多入侵都通过上传恶意PHP文件到上传目录来实现。
在宝塔面板中:
- 进入“网站” -> 你的站点 -> “PHP限制” -> 开启“禁用上传目录执行PHP”。
- 如果找不到这个功能,可以手动在
/www/wwwroot/你的域名/wp-content/uploads/下创建.htaccess文件,写入:
Order Deny,Allow
Deny from all
- 删除不用的默认主题(如Twenty Twenty系列)和长期不更新的插件。可以在后台“插件”页面查看,非必要的全部停用并删除。
注意: 删除前确认该插件没有在其他地方有数据残留。
第四步:增加登录验证层(高频问题解答)
问题:*我每次都要输验证码吗?
* 答:可以设置信任设备,或只在密码错误时触发。
推荐方案:
- 安装免费插件“Loginizer”或“Wordfence”。
- 在设置中开启“限制登录尝试次数”,比如设为3次后锁定15分钟。
- 如果使用Wordfence,还能开启“双因素认证”(需要手机验证器)。
避坑说明: 不要一次安装太多安全插件,它们可能互相冲突。
一般选1-2个主流插件即可,并定期更新。
第五步:定期扫描和清理木马
即使做了前面所有步骤,也可能因为插件漏洞被攻破。
你需要周期性扫描:
- 使用Wordfence的“扫描”功能,全盘检查文件变更、恶意代码。
- 宝塔面板也自带“木马查杀”(在软件商店安装),每周运行一次。
- 如果发现文件被篡改,立即对比备份恢复,并修改所有密码。
最后一步:验证加固效果并持续维护
完成以上操作后,按以下清单验证:
- 尝试用错误密码登录,是否被锁定?
- 访问
http://你的域名/wp-content/uploads/evil.php,应该返回403或404。 - 在宝塔“安全”中检查是否有异常登录IP。
- 运行一遍Wordfence扫描,确保无严重警告。
日常维护:每月更新一次WordPress核心、主题、插件;
每季度改一次所有密码;
定期检查wp-content下是否有可疑文件。
只要你坚持这些习惯,WordPress网站防黑加固就不再是难题。
如果你在操作中遇到“文件权限修改失败”或“无法登录后台”等问题,先恢复备份,再逐步排查。
也可以在评论区留言,我看到会第一时间回复。
