WordPress是非常流行的开源博客系统、CMS系统，全球许多网站都是基于WordPress搭建。尽管WordPress内核非常安全，有全球数百名专业开发人员的定期审计，但由于其流行度和庞大的主题、插件生态，WordPress仍不时爆出严重安全漏洞。维护网站安全是每一位站长的责任，本文给出大方向的WordPress安全防护指南。

使用最新版WordPress

自从5.0开始，WordPress默认会自动安装次要更新，但对于主要版本，仍需用户手动操作更新。出了WordPress内核，用户自助安装的主题和插件也需要手动更新，请将WordPress、主题和插件保持在最新版状态。

使用新版PHP

PHP是一门web开发的优秀编程语言，而WordPress使用PHP语言开发。PHP的广泛应用导致黑客对其漏洞十分感兴趣，因此请总是使用维护中的PHP版本，避免受到PHP层面的安全攻击。

使用安全主机

现在互联网上的Wordpress攻击已经高度自动化，再小的网站都是目标，主机公司更是大目标。如果主机商出现问题，其托管的站点将无可避免的受到波及。请使用不断监视可以网络活动、自动更新、自动备份和安全配置的主机商。

自动备份

备份是抵御网络攻击的第一道防线，能让站点受到攻击时迅速恢复网站数据。没有什么是100%安全的，因此请务必做好备份，以防万一。

使用SSL/HTTPS

后台登录输入的用户名密码不应明文传输，防止敏感信息被中间人截获。随着HTTPS的普及，WordPress网站启用SSL比以往任何时候都容易，许多托管主机商都提供免费的SSL证书，也可以使用 Let’s Encrypt提供的免费证书。

关闭XML-RPC

XML-RPC是WordPress向外暴露的调用接口，Pingback和Trackback功能依赖这组调用，但会被黑客程序拿来来做蛮力攻击或者DDos。

普通网站Pingback和Trackback功能意义不大，可以安装Disable XML-RPC插件，可彻底关闭XML-RPC。

隐藏登录入口

WordPress默认登录地址为 /wp-admin 和 /wp-login.php，网上大量黑客程序以它们为渗透目标。可以安装 WPS Hide Login 插件，可以禁止 /wp-admin 和 /wp-login.php 访问，并把登录入口修改成自定义URL。

使用强密码

避免使用“admin”作为管理员账号，这是黑客程序必试的账号。更改管理员账号能让猜密码的黑客程序头痛指数增加N倍，理论上猜账号和猜密码一样难。

用安全性更高的密码，不复用密码。

限制密码尝试次数，安装登陆重试次数限制插件Login LockDown。