八步增强 WordPress 站点安全

站点安全永远是一个不可忽视的问题。 Wordpress 本身在站点安全上做的非常好，然后由于使用者的自身问题，导致黑客能够轻易的进入你的 Wordpess 站点。其危害是显而易见的，重则站点数据丢失，不能正常访问，轻则网站主题模版被盗。下面笔者结合 Wordpress 多年部署经验，谈谈如何增强 Wordpress 站点安全。

一、永远不要使用 「admin」 作为登录用户名

我们都知道，在 Wordpress 安装过程中默认情况下会使用 「admin」 作为登录用户名。用户为了省事，不愿修改，致使黑客们轻易的跨出了第一步。

二、提供独特的密码

WordPress 密码采用的是 MD5 算法，和简单的密码 MD5 加密后使用网上的免费 MD5 解密程序很快就可以算出。所以为了安全，独特的密码是必须的。什么样的密码是独特的：（1） 长度至少 12 位，（2） 包含字母和数字，（3） 其中一个字母大小写都有，（4） 包含特殊字符如 #，@等。

三、安装登录安全插件

WordPress 插件库里有一个 limit login attempts 安全插件，安装激活后，进行设置即可。这个插件可以阻止黑客去猜测登录名和密码。你可以设置三次尝试失败后，就可以锁定登录。当然过期时间也是由你设定。

四、及时更新 WordPress 核心文件

WordPress 的更新是很平凡的。用于用户多，很容易发现问题。一旦发现问题，WordPress 就会有解决方案，提供更新。有的用户担心主题不适合新版本而不敢更新，这是不必要的。记住一句话：永远要让你的主题适应 WordPress，而不是 WordPress 适应主题。

五、及时更新主题

现在的主题越来越多使用第三方代码，如幻灯片、缩略图等，这些都会成为安全隐患。如前段时间发现的缩略图安全隐患，如果你还是使用没有修补的代码，这就容易被黑客利用。另外建议 WordPress 不要安装除了当前使用的和默认主题以外的主题，因为有些主题可能会带来安全漏洞。

六、及时更新插件

有的主题开发商为了怕麻烦，在函数文件里屏蔽了插件更新提示，这样做是对用户的不负责任。因为插件也存在一定的安全隐患。在选择插件时，不要选择没人维护的插件。一般要到官方插件库下载除非是商业插件。

七、管理帐号与发布文章帐户分离

管理员帐户如果用来发布文章，那么你的用户名就向世界公开了。 Wordpress 已经考虑了这一点。允许你创建编辑用户。所以要好好了利用这一点来隐藏管理员帐户。

八、设置显示名

如果你不愿意用编辑用户来发布文章，那么就设置显示名。这样在你发布文章的时候，就不会把管理员帐号显示出来。

我想如果你注意了以上八步，你的 WordPress 站点不会被黑客轻易的进入。