WordPress 网站安全：我们需要采取哪些措施呢？

现在写博客已经成为很多人的爱好，而 WordPress 是最受青睐的平台。默认情况下，wordpress 博客采用最低级别的安全性，而且它的文件和/或插件可能经常过时。这些文件是可追踪的并且容易被黑客入侵。互联网不是一个安全的工作场所，必须充分了解如何确保安全。

本文介绍了初学者可以实施的一些简单提示和技术，以确保他们的博客和存储在 WordPress 上的信息的安全性。

提示 #1 使用唯一、安全的用户名和密码

• 避免使用默认 管理员

• 用户还可以创建具有管理员权限的新用户并删除旧的“管理员”用户名。

• 诸如 Username Changer 之类的 WordPress 插件也可用于将用户名更改为更安全的名称。尽量避免使用常见的用户名，例如 usernames 或 administrator，这些用户名很容易被猜到。

• 选择由字母、数字和字符组成的复杂密码。不要选择与用户名、网站名称或简单的单词相似的密码。

• 建议最好使用随机字符串。

提示 #2 启用两步验证

1.用户需要有一个 WordPress 帐户，可以通过单击此处创建。如果用户已经拥有 WordPress 帐户，请跳过此步骤。

2.单击此处启用两步验证。用户被重定向到以下页面。

3.单击开始后出现以下屏幕

4.选择通过短信验证选项。

5.WordPress 将通过短信发送验证码，用户需要输入该验证码以验证号码。

6.正确输入发送到你手机的代码。然后应提供一堆备用代码，如果手机被盗或丢失或无法访问手机获取代码的情况，可以将其用作访问站点的替代方式。将这些代码保存在文本文件中。

7.你现在已启用两步验证。

提示 #3 使用插件

为了防止暴力攻击，有两个很棒的插件

• All in One WP Security & Firewall 插件有一个选项，可以简单地更改该登录表单的默认 URL (/wp-admin/)。此插件还有助于限制从某个 IP 地址登录的尝试次数。

• 另一个是　BruteProtect。该插件最近被 WordPress 的创建者 Automattic 收购。该插件会自动保护用户登录表单免受 IP 地址的影响，这些 IP 地址往往会进行多次登录尝试。

提示 #4 将 wp-config 上移一个目录并将其锁定

• 用户可以将 wp-config.php 文件移动到 WordPress 安装上方的目录。这意味着对于安装在你的网站空间根目录中的站点，你可以将 wp-config.php 存储在 web-root 文件夹之外。

• 这就是 wp-config 的样子：