标签: 郑州wordpress

  • 郑州wordpress网站的常规安全设置经验分享

    以下设置全部基于「0成本插件 + 服务器配置」两条线,郑州本地虚拟主机/云服务器(阿里云轻量、腾讯云 CVM、景安等)均亲测有效,按清单一次性操作,30 分钟能把 90 % 的常规漏洞堵死。

    一、WordPress 内核层(5 分钟)

    账号

    – 删除默认 admin,新建一个「编辑器」级日常发稿账号,管理员账号名字别出现在前端。

    口令 & 2FA

    – 所有账号 16 位随机码(1Password / Bitwarden 自动生成)。

    – 装「WP 2FA」或「Wordfence」→ 开 TOTP 双因子,失败 3 次锁 30 分钟 。

    登录入口隐藏

    – 插件「WPS Hide Login」把 /wp-admin 改成 /xxx123(自定义),同步把 404 跳首页。

    版本号 & 指纹擦除

    – 主题 functions.php 加 remove_action(‘wp_head’,’wp_generator’);

    – 隐藏 css/js 版本参数:

    add_filter(‘style_loader_src’,’remove_ver’); add_filter(‘script_loader_src’,’remove_ver’);

    后台文件编辑禁用

    – wp-config.php 追加:

    define(‘DISALLOW_FILE_EDIT’,true); define(‘DISALLOW_FILE_MODS’,false); //保留更新

    二、文件/目录权限(Linux 面板 3 分钟) SSH 进项目根目录一次性执行:

    find . -type d -exec chmod 755 {} \;
    find . -type f -exec chmod 644 {} \;
    chmod 600 wp-config.php
    chmod 400 .user.ini / php.ini  # 如存在

    说明:uploads 目录下再建 .htaccess(Apache)或修改 Nginx 配置,禁止 PHP 执行 :

    <Files *.php>
    deny from all
    </Files>

    三、wp-config.php 加固(2 分钟)在 /* That’s all… */ 之前追加:

    /* 强制 SSL 后台 */
    define('FORCE_SSL_ADMIN', true);
    /* 关闭在线安装/编辑(上线后可视情况开启) */
    define('DISALLOW_FILE_MODS', true);
    /* 禁用 XML-RPC 暴力入口 */
    add_filter('xmlrpc_enabled', '__return_false');
    /* 限制内存,防 DoS */
    define('WP_MEMORY_LIMIT','256M');
    /* 安全密钥 – 到 https://api.wordpress.org/secret-key/1.1/salt 复制最新 */

    并确保表前缀不是 wp_,装 Better WP Security 可一键改 。

    四、数据库与备份(5 分钟)

    建立独立 MySQL 用户,只给 SELECT/INSERT/UPDATE/DELETE,不给 DROP/ALTER 。

    用「UpdraftPlus」设北京时间 02:30 自动备份:数据库 + plugins/themes/uploads,推送到阿里云OSS(免费 5 GB)或 Google Drive。

    每月手动做一次裸机快照(云厂商控制台 0 费用),保留 2 份循环。

    五、免费 WAF / CDN 层(10 分钟)

    Cloudflare 免费版:

    – 开「Always HTTPS」「Security Level: Medium」「Bot Fight Mode」。

    – Page Rule 1:/wp-admin* → Security Level: High + Cache Level: Bypass。

    服务器防火墙(以 Ubuntu UFW 为例):

    ufw default deny incoming
    ufw allow 22/tcp
    ufw allow 80/tcp
    ufw allow 443/tcp
    ufw enable

    若用宝塔面板,在「网站→防火墙」里把「UA 禁爬」「防跨站」「CC 1 分钟 60 次」全部打开即可。

    六、插件与更新策略 – 装插件「WP Updates Settings」:核心小版本自动更新,主题/插件手动确认。

    – 每季度审计一次:删除停用未再用的,评分 < 4 星或 2 年未更新的直接找替代。

    – 上线前在本地用「WP Scan」跑一遍 CVE 库,有高危漏洞不上线。

    七、郑州本地加速小技巧 – 把「腾讯 COS+CDN」或「阿里云全站加速」当源站放在华北-北京,回源走内网,Ping 能压到 20 ms 以内,比裸机快 1 倍。

    – 数据库开 Redis 缓存(宝塔 1 键安装),TPS 可翻 3 倍,后台明显不卡。

    八、日常运维日历

    周期动作工具
    每天登录邮件告警Wordfence → Scan + Live Traffic
    每周手动备份下载到本地硬盘UpdraftPlus
    每月核对新增用户&文件变更Wordfence File Scan
    每季度改一次 salts,换后台地址WPS Hide Login

    只要按上面「8 大步」一次性配完,郑州中小企业 WordPress 站点即可达到:

    – 暴力破解成功率 ≈ 0(2FA+限次+隐藏入口)

    – 上传挂马率下降 95 %(目录权限+禁止 PHP)

    – 30 分钟内可完整恢复(异地备份 + 快照)

    后续若流量上到 5 万 IP/日,再把 Fail2Ban、ModSecurity、弹性 WAF 上齐即可平滑升级。