網站最重要的就是安全了，雖然WordPress 是迄今為止最流行的博客平臺，安全性也極高，但仍不可忽視。

正由于它的流行，也因此帶來了正面和負面的影響。事實上，幾乎每個人都使用它，使它更容易被發現漏洞。WordPress 的開發人員做了很多工作，一旦新的缺陷被發現，就會發布修復和補丁，但這并不意味著你可以安裝完就置之腦后。

在這篇文章中，我們將提供一些最常見的保護和強化 WordPress 網站的方法。

在登錄后臺時總是使用 SSL

不用說的是，如果你并不打算只是做一個隨意的博客，你應該總是使用 SSL。不使用加密連接登錄到你的網站會暴露你的用戶名和密碼。任何人嗅探流量都可能會發現你的密碼。如果你使用 WiFi 上網或者連接到一個公共熱點，那么你被黑的幾率更高，這是特別真實的。你可以從這里[1]獲取受信任的免費 SSL 證書。

精心挑選附加的插件

由第三方開發人員所開發，每個插件的質量和安全性總是值得懷疑，并且它僅取決于其開發人員的經驗。當安裝任何額外的插件時，你應該仔細選擇，并考慮其受歡迎程度以及插件的維護頻率。應該避免維護不良的插件，因為它們更容易出現易于被利用的錯誤和漏洞。

此主題也是上一個關于 SSL 主題的補充，因為許多插件包含的腳本會發出不安全連接(HTTP)的請求。只要你的網站通過 HTTP 訪問，一切似乎很好。但是，一旦你決定使用加密并強制使用 SSL 訪問，則會立即導致網站的功能被破壞，因為當你使用 HTTPS 訪問其他網站時，這些插件上的腳本將繼續通過 HTTP 提供請求。

安裝 Wordfence

Wordfence 是由 Feedjit Inc. 開發的，Wordfence 是目前最流行的 WordPress 安全插件，并且是每個嚴肅的 WordPress 網站必備的，特別是那些使用 WooCommerce 或其它的 WordPress 電子商務平臺的網站。

Wordfence 不只是一個插件，因為它提供了一系列加強您的網站的安全功能。它具有 web 程序防火墻、惡意軟件掃描、實時流量分析器和各種其它工具，它們可以提高你網站的安全性。防火墻將默認阻止惡意登錄嘗試，甚至可以配置為按照 IP 地址范圍來阻止整個國家/地區的訪問。我們真正喜歡 Wordfence 的原因是，即使你的網站因為某些原因被侵害，例如惡意腳本，Wordfence 可以在安裝以后掃描和清理你的網站上被感染的文件。

該公司提供這個插件的免費和付費訂閱計劃，但即使是免費計劃，你的網站仍將獲得令人滿意的水平。

用額外的密碼鎖住 /wp-admin 和 /wp-login.php

保護你的 WordPress 后端的另一個步驟是使用額外的密碼保護任何除了你以外不打算讓任何人使用的目錄(即URL)。 /wp-admin 目錄屬于此關鍵目錄列表。 如果你不允許普通用戶登錄 WordPress，你應該使用密碼限制對 wp.login.php 文件的訪問。無論是使用 Apache[2] 還是 Nginx[3]，你都可以訪問這兩篇文章，了解如何額外保護 WordPress 安裝。

禁用/停止用戶枚舉

這是攻擊者發現你網站上的有效用戶名的一種相當簡單的方法(即找出管理員用戶名)。那么它是如何工作的?這很簡單。在任何 WordPress 站點上的主要 URL 后面跟上 /?author=1 即可。 例如：wordpressexample.com/?author=1。

要保護您的網站免受此影響，只需安裝停止用戶枚舉[4]插件。

禁用 XML-RPC

RPC 代表遠程過程調用，它可以用來從位于網絡上另一臺計算機上的程序請求服務的協議。對于 WordPress 來說，XML-RPC 允許你使用流行的網絡博客客戶端(如 Windows Live Writer)在你的 WordPress 博客上發布文章，如果你使用 WordPress 移動應用程序那么也需要它。 XML-RPC 在早期版本中被禁用，但是從 WordPress 3.5 時它被默認啟用，這讓你的網站面臨更大的攻擊可能。雖然各種安全研究人員建議這不是一個大問題，但如果你不打算使用網絡博客客戶端或 WP 的移動應用程序，你應該禁用 XML-RPC 服務。

有多種方法可以做到這一點，最簡單的是安裝禁用 XML-RPC[5]插件。