4.26 WordPress安全性【不做你就完了】

WordPress并不安全

• WordPress是最好的建站系统，但由于用他建站的人太多了，所以黑客研发了很多专门针对WP的破解方式，WP并不安全！
• 不参加Gofair的自建站，半数以上最终都会被黑客攻陷，就是因为你不够专业。
• 尤其是开通了前台会员注册的网站，不按此教程进行安全性设置，你的站基本一定会被黑?

服务器root密码：

要尽量长而且复杂。（如果你严格按照我们服务器教程设置了30位密码，那么肯定没问题了）

关闭部分不常用的端口（最狠也是必做的一招）

进入腾讯云后台

进入腾讯云后台的服务器防火墙（如您的服务器不是这个界面，请采用下面的方法二：通过宝塔后台）

我们可以禁掉下图2个端口：

• 22端口（最主要的就是这个）：就是SSH远程，我们用堡塔远程工具安装宝塔面板时用的就是22端口，但装好后就可以禁掉。这招对于暴力破解你服务器的黑客来说可谓噩梦，你都不允许SSH远程登录了，黑客还怎么破解服务器呢？
• 3389端口（如果有就封禁掉）：这是Windows主机的远程端口，而我们是Linux主机，禁掉肯定没关系。

反正你随时可以去恢复端口的，所以不用怕。

• 就像下图这样点成拒绝，就相当于临时封禁了该端口了，理解了吗？
• 当然当你需要SSH连接的时候，随时可以改回允许。

友情提示：

显而易见，如果你今后自己想通过SSH的22端口连接服务器，万一连不上，就需要检查腾讯云后台的以上这些设置哦~

wordpress后台登录设置：

1）利用WPS hide login插件设置个性化登录网址。这招很管用，凡是隐藏过wp后台的网站，

作用：

• 传统的WP登录后台网址，默认就是类似*****.com/wp-admin，如有些建站小白又用了admin作为后台用户名然后密码又设置得过于简单，那么几天内就可能被黑客暴力破解！
• 用了此插件后，可以个性化设置登录网址后缀，避免后台暴露，尽最大可能避免网站被黑。
• 此方式非常有效，凡是用了这个方式搭建的WP网站，至今尚未遇到过被黑的，说明很多黑客都是通过后台登录网址黑进来的。
• 用了此插件后，必须用特定的网址才能登录后台，大家必须第一时间记录好后台网址。当然登录后网址还是会自动跳转到*****.com/wp-admin这样的链接，这是正常的，请大家放心。

安装：

搜索插件：WPS Hide Login

一百万人用的插件，看来聪明人不少啊。

设置：

• 网址后缀请设置成英文小写字母+数字，位数可以长一些。（请勿使用大写字母和特殊符号！）
• 修改后要记得记录下新的后台路径哦！否则以后就无法登录了哦~

故障排除：

如果你无法打开已经预设的后台路径，那么有如下可能：

收藏错了后台网址

这是个非常常见的错误！不少人登录后收藏网址，但收藏的是默认的wp-admin结尾的网址，今后就会无法打开后台。正确的做法是去修改收藏夹网址，改成WPS Hide Login设置的login URL，比如把收藏夹里的网址改成：*****.com/dadalin9091

看错了后台链接

那么你的后台登录路径中会多一个英文问号，如果你忽略了，那么当然后台网址就错了：

网址设置时，使用了大写字母

• 请记住：只能用小写字母+数字！
• 你如果设置的时候用了大写字母，保存后会自动变成小写字母。所以你只要把记录下来的网址中的所有大写字母改成小写字母，就能顺利登陆了。
  比如你设置的链接是DaDaliN9091，那么只要用小写的dadalin9091就可以顺利登录了。

没有开启伪静态

• 进入你宝塔后台的网站，点设置就可以开始编辑。

意外情况：

• 万一你忘记了自己设置的后台登录路径网址，怎么办？
• 很简单，通过宝塔进入对应的路径把这个插件的文件夹先重命名，比如临时改名为wps-hide-login2，这样你就可以用默认的***.com/wp-admin登录了，等你正常登录WP后台记录好路径网址后，再把文件夹名称改回wps-hide-login。

至今我也没遇到过被破解的。
2）用户名不要用admin。
3）密码要复杂，位数要多、要含特殊符号。

修改管理员密码（不需要修改的请忽略）：

• 如果你已经登录了WP后台：想要修改成自己的后台管理员密码，那么很简单：进入WP后台→Users→All Users→找到你管理员的用户名进行编辑→New Password(密码尽量要复杂，要含特殊字符！不要忘记记录下新密码哦)
• 如果实在忘记密码导致无法登录WP后台：就要这么办了。

给管理员用户名设置Nickname和Display Name【重要】：

很多人建站的时候非常粗心，前台模板没好好检查修改，许多页面显示了管理员用户名，这样就让黑客轻松知道了你后台管理员用户名。
除了仔细检查每个模板页面，我们还可以做一件事从系统上解决此问题。
进入WP后台→Users→All Users→找到你管理员的用户名进行编辑→为你的管理员设置一个Nickname和Display Name（当然两者也可以设置成不同的）：

大家看懂了吗？您一旦对管理员用户名设置了Nickname（昵称）和Display Name（显示名称）后，即使前台露马脚，也不会显示你真实的管理员用户名。

暂停FTP：

用了宝塔后，文件都可以通过网页轻松上传下载，几乎不需要FTP功能了。但宝塔安装后默认是开启了FTP的，我们最好把他禁掉以免被人暴力破解：

暂停后，应该是这样的：

当然，如果哪天你需要使用FTP功能，记得在这里重新开启哦~

关闭XML-RPC服务（80%以上的WordPress网站都是这么被黑掉的）

• XML-RPC是一个WP自带的API接口，但正事儿不咋干，往往让黑客绕开传统登录界面，用暴力破解方式登录你后台。
• 而且默认竟然是打开的！这该S的WordPress程序员，分明就是官方后门嘛！
• 因此以下几步都要做，确保万无一失：

第1步：安装Disable XML-RPC插件

• 搜索并安装插件：Disable XML-RPC
• 激活后不需要设置，立马生效。
• 但也有人说这个插件没用，所以我们还要继续往下走。

第2步：宝塔内部加代码：

• 进入宝塔后台的网站列表，找到自己的网站，按如下步骤点击，然后CTRL-F搜索 禁止访问的文件或目录
• 在他下面一行添加代码。

location ^~ /xmlrpc.php { return 403; }

第3步：修改权限

• 修改根目录下面xmlrpc.php文件的权限为600
• 小心驶得万年船，我们尽量谨慎

第4步：functions.php中添加代码

// 禁用XML-RPC服务
add_filter('xmlrpc_enabled', '__return_false');
add_filter('xmlrpc_methods', '__return_empty_array');

第5步：验证XML-RPC是否已关闭

• 如果你的域名是abc.com，那么就打开：abc.com/xmlrpc.php
• 如果你以上都做好了，就应该显示如下403报错（这说明至少我们刚才的第2步奏效啦）：

为何不直接删除xmlrpc.php文件？

• 你的确可以删除此文件，但WP更新时，有可能会自动重新生成此文件。所以我们必须从系统上解决问题，才稳妥。

彻底关闭评论

做这么3件事：
1）取消今后的评论：后台Settings→Discussion→Default post settings→去掉这个勾选Allow people to submit comments on new posts

2）删除所有现有的评论：

3）把所有已发的post和page都批量改成不允许评论：
具体方法如下（注意：post和page都要如此操作下）

取消Pingback：

WP后台：settings→discussion→Default post settings→去掉这个勾选Allow link notifications from other blogs (pingbacks and trackbacks) on new posts

确认已关闭前台注册功能：

• B2B都是展示站，不要开启前台注册，否则会有危险。
• WP后台：Settings→General→Membership→去掉这个勾选Anyone can register（当然默认就是关闭的，您校对下即可）

要通过后台安装插件和主题！

• 不要去非官网下载安装插件或主题，基本都有后门导致你网站被黑。
• 正确操作方式是去你网站后台的Plugins→Add New这里安装插件（如下图）。

过滤网站地图里面的管理员用户名信息

默认的网站地图中会显示你的管理员用户名！我简直怀疑WordPress程序员和黑客就是一伙的！

那么如何去除上图这条记录呢？在模板文件夹下面的functions.php中

在以上文件中任何空的地方加上如下代码就搞定了：

add_filter(
    'wp_sitemaps_add_provider',
    function( $provider, $name ) {
        if ( 'users' === $name ) {
            return false;
        }
 
        return $provider;
    },
    10,
    2
);

去除Phpmyadmin的公共访问权限

大家别大意哦，宝塔唯一出过的一次安全事故，就是这个！所以必须去掉勾选。

我们今后通过面板访问phpMyAdmin就安全多了。

删除不必要的文件：

为确保安全，我们要删除：

1）网站根目录下的3个文件：readme.html、license.txt、wp-config-sample.php文件。（如重装WordPress这3个文件会重新出现）

2）wp-admin目录下的2个文件：install.php和install-helper.php文件。（如重装WordPress这2个文件会重新出现）

删除系统自带的无效主题和插件

544权限设置【高级功能、慎用】

注意：这个设置后理论上有可能影响网站功能，而且会导致你无法通过wordpress后台安装插件和主题，所以如果不是确认网站已受到攻击，切勿操作！电脑不好的人更不需要操作。

• 主题和插件是高危区域，黑客极容易通过这些地方黑入。
• 网站稳定后(就是不怎么需要安装主题或插件后)，可以把plugins、theme的权限平时设置成544。
• 主题和插件的权限改成544后就无法通过wordpress后台安装插件或主题了，那么我们可临时改回755权限，等安装好后改回544。
• 还有，但如果发现设置成544后网站某些功能出了问题，请恢复成755。

关闭RSS FEED【可选】

参见教程

河马webshell查杀

• 宝塔后台→软件商店→搜索安装这款应用。
• 他能帮你扫描发现一些可疑程序，当然需要懂技术的人才知道接下来如何操作，不要随意乱删。
• 如果你需要用到这款软件，基本上都是由于你前面的工作没做到位引起的?

自动备份

• 对于网站安全，其实最后一招就是你必须有每天的自动网站和数据库备份，最好同时设置好远程备份，到了危急关头就看这个了，其他全都没用的。
• 我们已经做了备份教程了，确认你已经设置好，否则耗子尾汁。