WordPress 网站安全的几点注意

分享下我用 WordPress 搭建网站时的安全设置。

首先自然是禁用系统默认的 admin 后台登录地址（在域名后加上 /admin 会自动跳转到后台登录），我觉得这点比较重要。

因为这种敏感的登录相关信息，是需要格外注意保护的。

一般禁用的方式也简单，直接在网站的安全插件里面设置一下就好了，目前市面上的绝大部分安全插件都支持这个功能。

至于具体的登录后缀，可以自己设计一个自己能记得住的字符，或者干脆使用随机字符。

修改好后台用户的登录地址之后，还需要注意不要使用弱密码。

我见过不少非常简单的网站管理员登录密码，像什么 123456 或者 admin123456 之类的。

说实话，这种弱口令的密码，使用一个简单的密码本便能碰撞出来。

而且由于 WordPress 网站有非常丰富的外部数据获取接口，这就导致任何人都可以随便查询得到网站的用户列表。

所以现在可以去检查下自己网站的密码口令，是不是存在弱口令的情况，如果存在的话直接去「User」里面修改下密码。使用系统推荐的随机密码就可以。

做好这些之后，我觉得还有一点比较关键，那就是固定管理员的登录 IP 地址。

也就是说，只有管理员用户通过我设置的这个 IP 地址登录，才可能进入到后台。

至于其他的任何 IP 地址试图登录我的网站后台，直接拒绝其 登录请求。

要做这点设置，也只需要在安全插件里操作一下，或者有些服务器主机也支持这个功能，需要自己去后台看看后确定。