1、不要再网络上随便下载汉化/破解的主题或插件

哪有那么多免费的“午餐“，你在“享受”便利的同时也在给自己带来麻烦，黑产从业者会把木马／后门植入主题／插件从而利用你的主机去DDoS别人的网站，或者获取你的数据

2、不要使用弱口令管理员密码，使用安全性更高的管理员帐号

什么112233、123456、admin、1314521类似的简直和没有密码一样。最起码要大小写字母加数字不少于8位；避免使用“admin”作为管理员账号。

3、尽量修改默认登录入口

wordPress默认登录地址为 /wp-admin 和 /wp-login.php，改成其他的目录降低密码被爆破的可能性。安装 WPS Hide Login 插件，可以禁止 /wp-admin 和 /wp-login.php 访问，并把登录入口修改成自定义URL。

4、限制访问文件和目录

如果文件和目录的访问权限不够安全，这些文件可能会被黑客访问并用于破坏你的网站。建议将 wp-config 文件的权限设为 600，其它文件的权限设为 644，目录的权限设为 755

5、关闭目录浏览

有的主机环境默认没有关闭目录浏览，这样会带来很多安全隐患

6、禁止执行 wp-includes 目录中的 PHP 脚本

wp-includes 目录可能包含不安全的 PHP 文件，这些文件可执行用于控制和利用您的网站

7、禁止执行 wp-content/uploads 目录中的 PHP 脚本

wp-content/uploads 目录可能包含不安全的 PHP 文件，这些文件可执行用于控制和利用您的网站

8、关闭XML-RPC

XML-RPC是WordPress向外暴露的调用，Pingback和Trackback功能依赖这组调用，但会被黑客程序拿来来做蛮力攻击或者DDos。安装Disable XML-RPC插件，可彻底关闭XML-RPC。普通网站Pingback和Trackback功能意义不大，所以关掉XML-RPC也没有关系，除非你确定它需要打开。

9、更改默认的数据库表前缀

在所有 WordPress 安装实例上的 WordPress 数据库表都具有相同的标准名称。当标准的 wp_ 前缀用于数据库表名时，整个 WordPress 数据库结构是透明的，使得恶意脚本很容易从其中获取任何数据。此安全措施会将数据库表名称前缀更改为与默认的 wp_ 前缀不同的内容

10、养成备份的好习惯

有备无患，备份可以让数据丢失/损坏后即使恢复，不受损失。

11、保持插件、模板、WordPress是最新的

其实还有很多方面，在这里就不一一列举，上面这些做好就足够应对大多数的场景了

12、用靠谱主机

永远不用“免费”主机，这种服务商自己就是半个黑客。

用具备安全措施的主机，没钱就用基本款，对普通网站也够，如国外的 Fastcomet，SiteGround，有钱的大户就用全托主机如国外的WPEngine。

13、过滤垃圾评论

多数垃圾评论的目的并非打广告这么简单，而是把评论内容写得像广告，实际嵌入了恶意代码进行XSS攻击，这样的评论如果流入正常用户的浏览器，就有可能带来危害，如果是权限较高的用户，网站就可能被渗透。装好WordPress立即打开Akismet插件。审核用户评论，在设置->讨论中可以配置。

14、强制用户使用https协议

后台登录输入的用户名密码不应明文传输，配置web服务器，打开SSL证书。

15、关闭文件编辑

WordPress默认允许管理员帐号修改主题或插件源文件，一旦管理员帐号被渗透，理论上黑客可以通过这个功能修改这些文件，执行任何他想执行的代码，比如注入木马，留后门。彻底关闭这个功能，通过在wp-config.php中加入：

define('DISALLOW_FILE_EDIT', true);

总结

WordPress安全最重要的事，一是保持自动更新，二是使用安全插件定期扫描，三是备份。做到这三点，基本可保网站不被渗透。剩下的措施可以根据网站情况决定是否配置。