WordPress 安全 - 文章封面

WordPress 安全防护完整指南:从基础配置到高级防御

作者

去年 11 月的一个周末晚上,我接到客户 Kevin 的紧急电话。他的外贸网站被黑了——所有产品页面都被篡改成博彩广告,Google 收录页面从 2000 多条暴跌到不足 50 条。更糟的是,他刚为这个网站投了 5000 美元的 Google Ads。

这不是个案。根据 Sucuri 2025 年的安全报告,WordPress 网站占被黑网站的 94%。但问题不在于 WordPress 本身不安全——而是很多站长忽略了基础的安全配置。

如果你也在用 WordPress 建站,尤其是外贸站、电商站这类涉及交易的网站,这篇文章会帮你系统地建立安全防线。我们不会给你一堆技术术语,而是用实际案例告诉你:哪些安全措施真的有用,以及如何一步步实施。

为什么 WordPress 网站容易成为攻击目标?

在讲具体防护方法之前,你需要理解一个事实:WordPress 网站之所以频繁被攻击,是因为它太流行了。

全球 43% 的网站运行在 WordPress 上,这意味着黑客只要找到一个通用漏洞,就能批量攻击数百万个站点。就像小偷会优先选择防盗门最常见的那种锁——破解方法可以通用。

但这并不意味着你束手无策。恰恰相反,正因为 WordPress 生态成熟,安全工具和最佳实践也非常完善。只要你愿意花 2-3 个小时做好配置,你的网站安全等级可以超过 90% 的同行。

第一道防线:不要让黑客轻易登进来

Kevin 的网站被黑,根本原因是他用了一个弱密码:kevin2024。黑客的脚本在 17 分钟内就破解了这个密码,然后直接进入后台安装了恶意插件。

强密码:最基础但最有效的防护

你可能听腻了”用强密码”这个建议,但事实是:如果你的密码足够强,大部分暴力破解攻击会直接放弃你的网站,转而攻击更容易的目标。

一个合格的 WordPress 管理员密码应该是这样的:

  • 至少 16 位(不是 8 位)
  • 包含大小写字母、数字、特殊符号
  • 完全随机,不包含任何个人信息

举个例子:kP9#mZ2$vL4@wN8&qR5! 这样的密码,暴力破解需要 200 万年。而 kevin2024 只需要 17 分钟。

我的建议是使用密码管理器(比如 1Password 或 Bitwarden)生成并保存密码。你不需要记住它——每次登录时让密码管理器自动填充就好。

双因素认证:即使密码泄露也进不来

但如果你的密码真的泄露了呢?比如你在咖啡馆用公共 WiFi 登录过,或者你的电脑中了木马。

这时候双因素认证(2FA)就是你的最后一道防线。启用 2FA 后,登录不仅需要密码,还需要你手机上的动态验证码。即使黑客拿到了你的密码,没有你的手机,他们也进不来。

在 WordPress 上启用 2FA 非常简单:

  1. 安装 Wordfence Login Security 插件(免费)
  2. 进入插件设置,选择”Two-Factor Authentication”
  3. 用手机上的 Google Authenticator 扫描二维码
  4. 从此每次登录都需要输入手机上的 6 位验证码

整个过程不超过 3 分钟。但这 3 分钟能让你的网站安全等级提升 10 倍。

限制登录尝试:别让黑客无限试错

暴力破解的原理很简单:黑客的脚本会尝试成千上万个常见密码组合,直到猜中为止。如果你不限制登录尝试次数,这种攻击迟早会成功。

安装 Limit Login Attempts Reloaded 插件,设置”3 次错误后锁定 30 分钟”。这样一来,黑客每天最多只能尝试几十次——而不是几百万次。

我们帮 Kevin 做的第一件事就是加装这个插件。结果第二天就拦截了 247 次来自俄罗斯 IP 的暴力破解尝试。

第二道防线:不要让黑客修改你的文件

假设黑客通过某个漏洞(比如过时的插件)获得了文件上传权限,他们会怎么做?

通常是上传一个 PHP 后门文件,然后通过这个后门控制你的整个网站。但如果你提前设置好文件权限,这个后门就无法执行。

正确的文件权限配置

Linux 服务器的文件权限分为三类:所有者、用户组、其他人。对于 WordPress 来说,正确的权限配置是:

  • 所有目录:755(所有者可读写执行,其他人只能读和执行)
  • 所有文件:644(所有者可读写,其他人只能读)
  • wp-config.php:600(只有所有者能读写,其他人完全无权限)

如果你用的是 Hostease 的 VPS 主机,可以通过 SSH 连接服务器,运行这几条命令:

cd /path/to/your/wordpress
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
chmod 600 wp-config.php

这样配置后,即使黑客上传了恶意文件,也无法执行它。

禁用后台文件编辑功能

WordPress 后台默认允许你直接编辑主题和插件的 PHP 代码。这个功能很方便,但也很危险——如果黑客进入后台,他们可以直接修改代码植入后门。

解决方法是在 wp-config.php 文件中添加一行代码:

define('DISALLOW_FILE_EDIT', true);

加上这行后,后台的”编辑器”功能会被禁用。如果你真需要修改代码,通过 SFTP 上传就好——稍微麻烦一点,但安全得多。

第三道防线:不要让黑客读取你的数据库

你的 WordPress 数据库里存着什么?用户信息、订单记录、支付数据、敏感配置……如果黑客通过 SQL 注入攻击读取了数据库,后果不堪设想。

修改数据库表前缀

WordPress 默认的数据库表前缀是 wp_。这意味着黑客知道你的用户表叫 wp_users,配置表叫 wp_options

但如果你把前缀改成随机的 wp_a9x2_,黑客的脚本就不知道该攻击哪个表了。虽然这不能完全防止 SQL 注入,但确实增加了攻击难度。

如果你的网站还没上线,安装 WordPress 时就选择一个随机前缀。如果网站已经运行,可以用 Brozzme DB Prefix 插件一键修改(记得先备份数据库)。

定期备份:最后的保险

说实话,再强的防护也无法做到绝对安全。万一真的被黑了,你需要一个干净的备份来快速恢复网站。

我建议你:

  • 每天自动备份数据库和文件
  • 备份保存到远程位置(不是服务器本地)
  • 至少保留 30 天的历史备份

UpdraftPlus 是最流行的备份插件,免费版就支持自动备份到 Google Drive、Dropbox 等云存储。设置好后,它会在后台静默运行,你完全不用操心。

Kevin 被黑后,我们花了 6 个小时清理恶意代码。如果他有备份,3 分钟就能恢复网站。这就是备份的价值。

第四道防线:不要用有漏洞的插件和主题

WordPress 网站被黑,90% 的原因不是 WordPress 核心代码有问题,而是第三方插件和主题存在漏洞。

WordPress 安全 - 插件安全检查流程图
插件安全检查流程图

只装必要的插件

你的网站真的需要 30 个插件吗?每多装一个插件,就多一个潜在的安全漏洞。

我见过很多站长的插件列表里有:

  • 3 个不同的”社交分享”插件
  • 2 个”滑动效果”插件
  • 好几个已经停用但没删除的插件

把不用的插件全部删掉,不是停用,是删除。停用的插件仍然可能被黑客利用。

只用可信来源的插件

当你需要一个新功能时,去哪里找插件?

最安全的选择是 WordPress 官方插件库。官方库里的插件都经过基本的安全审查,而且每次更新都会再审查一遍。

如果你从第三方网站(尤其是免费分享”高级版”插件的网站)下载插件,很可能下载到被植入后门的版本。Kevin 就是装了一个”免费的高级 SEO 插件”,结果那个插件本身就是木马。

选择插件时,注意这几点:

  • 活跃安装量至少几千(说明有人在用)
  • 最近 3 个月内有更新(说明作者还在维护)
  • 评分 4.5 星以上,看看差评在抱怨什么
  • 兼容你当前的 WordPress 版本

及时更新一切

看到 WordPress、插件、主题有更新提示时,别拖延,尽快更新。

很多站长担心”更新会不会导致网站崩溃”。这确实可能发生,但概率远低于”不更新导致被黑”。

如果你真的担心,可以先在测试环境更新,确认没问题再应用到正式网站。或者选择像 Hostease 的 托管 WordPress 主机,我们会在独立环境测试更新,确保兼容后再推送给你。

第五道防线:部署 Web 应用防火墙(WAF)

前面讲的都是”被动防御”——加固你的防线,让黑客进不来。但如果黑客用的是 0day 漏洞(还没公布的新漏洞)呢?

这时候你需要”主动防御”:在黑客的攻击到达你的网站之前就拦截它。这就是 Web 应用防火墙(WAF)的作用。

Wordfence:服务器端防火墙

Wordfence Security 是最流行的 WordPress 安全插件,免费版就包含了强大的防火墙功能。

它会实时监控所有访问请求,识别并拦截:

  • SQL 注入攻击
  • XSS 跨站脚本攻击
  • 恶意文件上传
  • 已知漏洞的利用尝试
  • 来自恶意 IP 的访问

安装 Wordfence 后,去”设置”开启”学习模式”。它会观察你网站的正常流量模式 1 周,然后自动切换到”保护模式”。

此外,Wordfence 还提供恶意软件扫描功能,每天自动扫描你的网站文件,如果发现被篡改的文件会立即通知你。

Cloudflare:网络层防火墙

Wordfence 在你的服务器上运行,所以攻击流量已经到达了你的服务器(虽然被拦截了,但仍然消耗服务器资源)。

如果你想在攻击流量到达服务器之前就拦截它,可以使用 Cloudflare

Cloudflare 是一个 CDN 服务,但它同时也是一个强大的 WAF。你只需要把域名的 DNS 解析到 Cloudflare,它就会:

  • 拦截 DDoS 攻击(每月拦截数千亿次攻击请求)
  • 阻止已知恶意 IP 访问
  • 强制启用 HTTPS
  • 缓存静态文件,加速网站访问

Cloudflare 的基础版完全免费,足够中小型网站使用。配合 Wordfence 使用,你就有了双层防火墙——一个在网络层,一个在应用层。

第六道防线:强制使用 HTTPS

2026 年了,如果你的网站还在用 HTTP,那简直是在”裸奔”。

HTTP 是明文传输的,任何人(包括你的网络服务提供商、咖啡馆的 WiFi 管理员、甚至你的邻居)都能看到你和用户之间传输的数据:

  • 用户输入的密码
  • 用户的浏览记录
  • 表单提交的内容
  • Cookies 和 Session 数据

HTTPS 对所有传输数据加密,即使被截获也无法解读。更重要的是,Google 已经明确表示:HTTPS 网站在搜索结果中会排名更高。

获取免费 SSL 证书

Hostease 的所有主机方案都包含免费的 Let’s Encrypt SSL 证书,在控制面板一键安装。

如果你用的是其他主机商,也可以手动申请 Let’s Encrypt 证书——完全免费,每 90 天自动续期。

强制全站 HTTPS

安装 SSL 证书后,你需要确保所有访问都走 HTTPS。在 wp-config.php 中添加:

define('FORCE_SSL_ADMIN', true);

这行代码会强制后台登录使用 HTTPS。

然后在 .htaccess 文件中添加重定向规则,把所有 HTTP 请求自动跳转到 HTTPS:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

最后在 WordPress 后台”设置 → 常规”中,把”WordPress 地址”和”站点地址”都改成 https:// 开头。

安全检查清单:你做到了哪些?

WordPress 安全 - 安全检查清单
安全检查清单

现在你已经了解了 WordPress 安全的核心原则。但知道和做到是两回事。下面是一个可执行的检查清单,你可以对照着一项项完成:

基础防护(必须完成,30 分钟内搞定):

  1. 修改管理员密码为 16 位以上的强密码
  2. 安装 Wordfence Login Security,启用双因素认证
  3. 安装 Limit Login Attempts Reloaded,限制登录尝试
  4. wp-config.php 中添加 define('DISALLOW_FILE_EDIT', true);
  5. 安装 UpdraftPlus,设置每天自动备份到云端

进阶防护(强烈建议,1 小时内完成):

  1. 修改文件权限:目录 755,文件 644,wp-config.php 600
  2. 修改数据库表前缀(用 Brozzme DB Prefix 插件)
  3. 删除所有不用的插件和主题
  4. 检查所有插件和主题是否有更新,及时更新
  5. 安装并配置 Wordfence Security 防火墙
  6. 注册 Cloudflare,启用基础防护
  7. 安装 SSL 证书,强制全站 HTTPS

高级防护(如果你的网站很重要,额外花 2 小时):

  1. 禁用 XML-RPC(除非你需要用它)
  2. 隐藏 WordPress 版本号(编辑 functions.php)
  3. 启用 Cloudflare 的”攻击模式”或”高级安全规则”
  4. 配置服务器防火墙,只允许必要的端口(80, 443, 22)
  5. 启用 Wordfence 的”实时 IP 黑名单”(需要付费版)
  6. 定期查看 Wordfence 的安全日志,分析攻击来源

如果你按照这个清单完成了基础防护和进阶防护,你的网站安全等级已经超过 95% 的 WordPress 网站了。

如果网站已经被黑了怎么办?

尽管做了这么多防护,仍然有可能被黑——比如你用的插件被发现 0day 漏洞,而你还没来得及更新。

如果发现网站被黑(页面被篡改、出现陌生的管理员账号、Google 收录异常),立即采取这些行动:

第一步:断网隔离(5 分钟内完成)

登录主机控制面板,暂时关闭网站(显示”维护中”页面),防止访客访问被感染的页面,也防止黑客继续破坏。

第二步:修改所有密码(10 分钟内完成)

修改这些密码,全部用强密码:

  • WordPress 管理员密码
  • 数据库密码
  • FTP/SFTP 密码
  • 主机控制面板密码
  • 服务器 SSH 密码(如果有)

第三步:扫描并清理恶意代码(1-3 小时)

安装 Wordfence 或 Sucuri Security 插件,运行完整扫描。它们会列出所有可疑文件,你可以一键删除或恢复到官方版本。

如果扫描发现数据库中有恶意代码(比如在 wp_options 表的 siteurl 字段插入了恶意脚本),需要手动清理数据库。

第四步:从备份恢复(如果有备份的话)

如果你有干净的备份,最省心的办法是直接恢复备份。这比手动清理要快得多,也更彻底。

但要注意:恢复备份会丢失备份时间点之后的所有更改(新文章、新订单、新评论等)。权衡一下再决定。

第五步:加固防护,防止再次被黑

清理完恶意代码后,一定要找出被黑的原因:

  • 查看 Wordfence 的攻击日志,看黑客是从哪个漏洞进入的
  • 检查所有插件和主题的版本,是不是有已知漏洞
  • 确认是不是密码太弱,或者被钓鱼了

找到原因后,按照前面讲的安全措施加固防护。否则黑客会再次进入——我见过有网站一周被黑 3 次,因为站长只清理恶意代码,不修复漏洞。

总结:安全不是一次性任务,而是持续的习惯

回到开头 Kevin 的故事。我们用了一个周末帮他清理网站、加固安全。6 个月过去了,他的网站再也没被黑过。

他现在养成了这些习惯:

  • 每周一查看 Wordfence 的安全报告
  • 每个月检查一次插件更新
  • 每季度更换一次密码
  • 每年做一次全面的安全审计

这些习惯每次只需要 10-30 分钟,但能避免几千美元的损失和几十个小时的救火时间。

如果你不想操心这些,可以考虑使用托管型主机服务。比如 Hostease 的 美国 Linux 虚拟主机VPS 云主机 都包含了:

  • 预装并配置好的安全插件
  • 自动每日备份
  • 实时恶意软件扫描
  • 服务器级防火墙
  • 自动更新 WordPress 核心(可选)

相当于我们帮你完成了这篇文章里 80% 的工作,你只需要专注于创作内容就好。

最后,记住一个原则:安全的本质是提高攻击成本。你不需要做到完全无懈可击,只需要让黑客觉得”攻击你的成本”远高于”攻击其他网站的成本”。他们就会放弃你,去攻击更容易的目标。

相关阅读:

本文由 Hostease 博客编辑团队原创发布

发表评论