独立站安全太重要了,尤其你有客户数据、支付信息。别以为用个强密码就万事大吉,黑客手段多着呢。几个容易被忽视的点:
1. 后台登录地址别用默认的/wp-admin! 这等于告诉黑客大门在哪。用插件改掉,比如WPS Hide Login,简单设置成/my-secret-login(别用这个例子,自己想个复杂的)。能挡住大部分自动化脚本扫描。
2. 限制登录尝试次数! 防止暴力破解。插件Limit Login Attempts Reloaded免费好用。设置比如5次失败锁定IP 1小时。别设太宽松。
3. 双因素认证(2FA)必须开! 就算密码泄露,还有手机验证码或验证器APP挡着。插件Wordfence或Two Factor Authentication都行。管理员和编辑账号强制开启。
4. 定期更新!核心、主题、插件! 老生常谈但总有人懒。安全更新往往修复高危漏洞。注意:更新前务必全站备份! 用UpdraftPlus之类的插件自动备份到云端(Dropbox, Google Drive)。万一更新冲突导致网站白屏,还能一键恢复。别心存侥幸。
5. 删掉没用的主题和插件! 闲置的插件/主题也是安全隐患,可能包含漏洞。用不上的,果断删!后台外观>主题 和 插件>已安装的插件 里清理。
6. 用户权限别乱给! 不是管理员就别给管理员权限。给作者、编辑等角色分配最小必要权限。避免内部误操作或账号泄露导致大问题。
7. 安全审计插件辅助: Wordfence或Sucuri Security这类插件,能扫描恶意文件、监控文件改动、防火墙阻挡可疑请求。免费版够用,建议装一个。定期看看扫描报告。
8. .htaccess文件加固(高级): 如果懂一点,可以在网站根目录的.htaccess文件里添加一些安全规则,比如禁止访问某些敏感文件(wp-config.php)、禁止目录浏览等。操作前先备份这个文件!改错了网站可能打不开。
安全是个持续过程,没有一劳永逸。保持警惕,定期检查。网站被黑再恢复,损失的可不止是时间。备份!备份!备份!说三遍。