你可以(也应该)遵循许多预防措施。
选择好的主机/服务器。
为您的主机和FTP帐户设置强密码
不要使用AutoInstalator(托管公司经常修改WordPress,所以这对他们来说更好,但这不是一个好主意)
为admin选择强密码,并为此用户使用一些真实登录(不要使用admin或administrator)不要使用默认的db前缀为文件和目录设置适当的访问权限wp-includes 或wp-content 如果只有少数用户能够登录到wp admin,则只允许访问某些IP地址的wp admin或添加基本地址
安装新插件时要小心。仅从原始来源下载插件/主题
只使用安全的插件/主题(请非常小心CodeCanyon/ThemeForest中的插件/主题-它们通常写得很差)更新WP、主题和插件https://wordpress.org/support/article/hardening-wordpress/奖金不要使用。。。
不要使用“安全”插件。它们做的不多,因为它们做不到。它们只是插件,所以如果一个站点有漏洞,那么它仍然会存在。插件只能加固和检查您的站点,但是。。。自动硬化总是比手动硬化更糟糕。用插件监控你的网站没有任何意义——如果你的网站受到感染,那么恶意软件可以很容易地修改网站和任何插件的行为(我在波兰WordCamp上多次展示了让Wordfence显示任何你想要的监控状态是多么容易)。所有这些“检查”和日志记录都会让你的网站变得更慢。更糟糕的是,如果您检查WPVulnDB,就会发现许多“安全插件”的代码中都有很多漏洞。。。
也不要更改默认登录地址。WordPress使用您的主题和所有插件生成404个错误页面。这意味着这样的页面速度不是很快(比登录表单慢几倍)。因此,如果您更改默认登录表单地址,并且将发生任何暴力攻击,那么由于您的更改,它将自动成为DDoS攻击。另一方面,如果您明智地选择托管,那么您就不必担心暴力攻击,因为它会被防火墙阻止。
