32步wordpress网站安全终极检查清单

wordpress后台被暴力破解是很多站长都经历过的事，而这只是无数网络安全问题中比较常见的一种而已。由于现在很多的网络攻击都是自动化、无差别的。所以无论网站大小，都有受到网络攻击的风险。所以做好网站的安全工作就显得尤为重要。

那么你的网站安全吗？怎么评测？下面是一份来自国外知名网站WPMU DEV推荐的安全检测清单。几乎涵盖了关于wordpress安全的方方面面。这是我见过的总结得最全的安全清单了，而且有很多是以前我看其他博主经常提及的。有一定的参考价值。我们可以根据清单中的措施对我们的网站安全状况进行一个大概的评测，这样我们做相关优化才能做到心中有数，有的放矢。

wordpress网站安全终极检查清单1-5

1、保持使用最新版本的WordPress；

2、不要修改WordPress的内核代码；

3、确保所有插件更新到最新版本；

4、移除所有未激活、未启用的插件；

5、确保所有主题更新到最新版本；

wordpress网站安全终极检查清单6-10

6、仅安装下载自其官方网站的插件、主题和脚本程序；

7、选择安全可靠的WordPress主机服务商；

8、确保你的网站运行在最新版的PHP版本上；

9、修改默认的admin登录用户名；

10、使用高强度的登录密码；

wordpress网站安全终极检查清单11-15

11、不要重复使用密码；

12、注意保护密码的安全，不要使用文本格式来保存密码；

13、只在可信任网络中更新你的网站；

14、本地计算机要安装杀毒软件；

15、使用Google Search Console等类似服务监控网站安全；

wordpress网站安全终极检查清单16-20

16、使用安全防护插件来保护你的WordPress网站；

17、如果其他步骤失败了，那使用备份文件恢复网站；

18、限制尝试登录的行为；

19、启用双重认证

20、确保文件权限设置正确；

wordpress网站安全终极检查清单21-25

21、修改默认的数据库表前缀；

22、确保设置了WordPress秘密认证验证密钥；

23、禁用执行PHP代码；

24、隔离数据库；

25、限制数据库用户的权限；

wordpress网站安全终极检查清单26-32

26、禁止文件编辑；

27、保护wp-config.php文件的安全；

28、禁用xml-rpc功能（如果你不需要这一功能的话）；

29、禁用PHP错误报告功能；

30、安装防火墙；

31、使用CDN防火墙；

32、通过安全日志监视WordPress网站安全。

WordPress网站