WordPress 占全球网站总量的四成以上,这个数字既说明它有多流行,也说明为什么它是自动化攻击工具最常扫描的目标。很多独立站被入侵不是因为 WordPress 本身有多脆弱,而是因为运营者长期不更新、用了来路不明的破解插件、管理员密码过于简单——这些问题都可以在出事之前解决。安全工作不是一次性任务,而是一套需要持续维护的机制。下面十个步骤,按照优先级排序,新建站的话可以按顺序走一遍,老站从哪一步开始都行。
第一步:保持更新,这是最便宜的防护
WordPress 核心、主题、插件的安全漏洞,官方团队会持续发现并在新版本里修复,但只有你真的更新了才有用。很多被入侵的站,审查之后发现用的是几个月甚至几年前的旧版本。
建议建立一个固定的更新习惯:每周登录后台检查一次,有更新就跑。更新之前先做一次完整备份(见第七步),遇到插件不兼容导致白屏的情况,能立刻恢复。WordPress 5.6 之后支持核心程序自动后台更新,可以在 wp-config.php 里开启:
define( 'WP_AUTO_UPDATE_CORE', true );
插件的自动更新可以在后台 Plugins 页面逐个开启,但如果你的站有定制化开发或者依赖特定插件版本,建议手动控制更新,而不是全部开自动——自动更新后出了问题排查起来更难。
第二步:账户安全——密码、用户名、双重验证
暴力破解是最常见的攻击方式之一,防护逻辑很简单:让猜密码这件事足够困难。
用户名: 不要用 admin 或 administrator 作为管理员账号名,这是攻击工具第一个会尝试的词。如果你的网站是用这个用户名建的,新建一个不同用户名的管理员账号,把内容归属迁移过去,然后删掉原来的 admin 账号。
密码: 长度至少 16 位,包含大小写字母、数字和特殊字符。直接让 WordPress 的密码生成器帮你生成一个,然后存进密码管理器(1Password 或 Bitwarden 都行),不要用任何和品牌名、域名、出生日期有关的词。
双重验证(2FA): 这是目前最有效的账户保护手段——即使密码泄露,攻击者没有你手机上的验证码也进不去。推荐 Wordfence Login Security 或 Two-Factor 插件,配置过程约 10 分钟,强烈建议所有管理员账号都开启。
第三步:HTTPS,全站开启,没有例外
Let's Encrypt 证书现在是免费的,主流主机服务商(Cloudways、Hostinger、Bluehost 等)都支持一键安装。如果你的站还在跑 HTTP,现在就去装。
装完 SSL 证书之后,记得检查两件事:第一,把 WordPress 设置里的 WordPress 地址和站点地址都改成 https:// 开头;第二,接入 Cloudflare 之后(见第八步),开启 Always Use HTTPS 和 Automatic HTTPS Rewrites,强制所有访问走加密连接,避免混合内容问题。
第四步:安装安全插件,选一个就够
不要同时装多个安全插件,功能重叠不说,还会互相冲突拖慢网站速度。根据你的情况选一个:
Wordfence Security 是大多数 WordPress 站的默认选择。免费版已经包含 Web 应用防火墙(WAF)、登录暴力破解保护、恶意文件扫描和实时攻击监控,适合个人博客到中型 WooCommerce 商城。需要注意的是,Wordfence 的防火墙规则在免费版里有 30 天延迟(付费版实时更新),但对大多数站来说已经够用。
Solid Security(原 iThemes Security,2023 年改名)配置界面更友好,提供文件完整性检查、数据库前缀修改、登录保护等功能,适合新手。它的免费版里有个很实用的功能——Site Scanner,定期扫描已知恶意软件签名。
Sucuri Security 免费版主要提供监控和日志功能,如果你需要更强的 WAF 防护,Sucuri 的付费 WAF 服务是行业里口碑不错的选项,但月费相对较高,更适合流量较大的企业站。
第五步:限制登录失败次数
WordPress 默认允许无限次密码尝试,这给暴力破解工具留了空间。大多数安全插件(Wordfence、Solid Security)都内置了这个功能,开启后设置连续失败 5 次锁定对应 IP 15–30 分钟,能有效阻断自动化攻击。
如果你不想装完整的安全插件,Limit Login Attempts Reloaded 是一个专门做这件事的轻量插件,单独使用即可。
第六步:修改默认登录地址(可选,但有用)
WordPress 后台默认入口是 /wp-admin 和 /wp-login.php,攻击工具在扫描目标时会优先检查这两个地址。换个不常见的路径,虽然不能从根本上解决安全问题,但能把大量自动化扫描直接过滤掉,减少服务器负担。
WPS Hide Login 是做这件事最常用的插件,安装后在设置里指定一个新的登录路径,比如 /my-secure-login-2026。重要提示: 修改完之后立刻把新地址记下来存好,如果你忘了新路径又没有备份访问方法(比如 SSH 或 FTP),可能会把自己锁在外面。
第七步:备份——所有安全措施的最后保险
其他所有安全步骤都是在"降低被入侵的概率",备份解决的是"万一真的出了事,损失能恢复多少"。这是两个不同的问题,缺一不可。
备份建议至少保留三个层级:最近 7 天的每日备份、最近 4 周的每周备份、最近 3 个月的每月备份。备份内容包括网站文件和数据库,缺一不可——只备份数据库恢复不了主题和上传的媒体文件,只备份文件恢复不了订单和用户数据。
UpdraftPlus 是目前使用最广泛的 WordPress 备份插件,免费版支持定时自动备份并推送到 Google Drive、Dropbox、S3 等云存储,配置一次之后基本不用管。如果你的主机服务商已经提供自动备份(Cloudways 支持),建议同时保留一份独立的 UpdraftPlus 备份存在另一个位置,主机出问题的时候不至于两份备份都没了。
第八步:接入 Cloudflare
对于跨境独立站来说,Cloudflare 的免费版几乎是标配:全球 CDN、基础 DDoS 防护、DNS 托管、HTTPS 支持,这些功能对网站速度和安全都有实质影响。
把域名 NS 记录切换到 Cloudflare 之后,在安全设置里建议开启以下几项:Bot Fight Mode(拦截已知爬虫和恶意机器人)、Browser Integrity Check(检查访问请求来源)、Security Level 设置为 Medium 或以上。如果你的站遭遇过 DDoS 攻击或者某段时间恶意流量突然增大,可以临时切换到 Under Attack Mode 加强拦截。
需要明确的是,Cloudflare 和安全插件是互补关系,不是替代关系。Cloudflare 在网络层过滤流量,到达服务器之前就把明显的恶意请求挡掉;安全插件在应用层处理已经进入 WordPress 的请求,两者负责的层级不同,都装才能形成完整的防护。
第九步:清理无用插件和主题
这一步很多人觉得不重要,实际上安全影响不小。即使一个插件处于停用状态,它的文件还在服务器上,如果其中有未修复的漏洞,攻击者仍然可以通过直接访问文件路径来利用。
建议每隔几个月扫一遍已安装的插件列表:没在用的直接删掉(停用+删除,不是只停用);在用的插件,检查一下开发者是不是还在维护(WordPress 插件目录会显示最后更新时间和是否兼容最新版 WordPress)。一个两三年没更新、官方标注"未经测试"的插件,留着是个风险。
绝对不要用破解版(Nulled)主题或插件。 这类资源里植入后门代码是非常普遍的做法,装上去相当于主动把入口开给攻击者,所有其他安全措施都形同虚设。
第十步:WooCommerce 商城的额外注意事项
如果你的 WordPress 站跑着 WooCommerce,除了上面九步都适用之外,还有几个地方需要额外关注:
定期检查管理员权限列表,确认只有需要的人拥有管理员或店铺经理角色;支付插件(Stripe、PayPal)要和其他插件一起保持更新,支付相关漏洞的风险级别更高;开启订单和管理员登录的邮件通知,异常操作能第一时间发现;如果你的订单量较大,定期检查一下有没有异常退款请求,这类操作有时候是账户被恶意使用的信号。
成本参考
| 项目 | 费用 |
|---|---|
| WordPress 核心 | 免费 |
| 域名 | 约 $10–20/年 |
| 主机/VPS | 约 $8–20/月(中小型网站) |
| Cloudflare 基础防护 | 免费 |
| SSL(Let's Encrypt) | 免费 |
| Wordfence / Solid Security 免费版 | 免费 |
| UpdraftPlus 基础备份 | 免费 |
对大多数外贸官网和中小型 WooCommerce 商城来说,安全配置本身的费用基本是零,真正的成本投入是时间——第一次配置完大概需要半天,之后维护成了习惯就是每周几分钟检查一下更新和日志。
最后说一句:如果你的网站真的被入侵了,第一步是暂停前台访问,从最近一次干净备份恢复,更新所有插件和密码,然后检查服务器文件里有没有不认识的 PHP 文件(重点看 wp-content/uploads 目录,这里有时会被植入 webshell)。如果网站涉及支付数据或用户信息,及时通知相关用户是必要的,不只是道义上的责任,在部分地区也是法律要求。