如何让WordPress 更安全地解决wordpress站点被打的问题？

冬至到了，愿你拥有不期而遇的温暖。

一、前言:

WordPress是博客系统中使用量最大的一个平台，通过这个平台可以很简单的实现一个博客的搭建和使用。因为有很多的第三方软件会有很大的问题，导致了一些安全问题的产生，希望通过本文能给大家带来一个更安全的博客系统

二、WordPress简介

WordPress是使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统（CMS）来使用。WordPress是一款个人博客系统，并逐步演化成一款内容管理系统软件，它是使用PHP语言和MySQL数据库开发的,用户可以在支持 PHP 和 MySQL数据库的服务器上使用自己的博客。
 

三、环境介绍

Centos8 + LNMP

Nginx 1.18

PHP 7.2

Mysql 5.6

测试域名：word.com

只有一个账户+当作博客系统的建议做的安全设置
 

四、后台加固

 
链接

 一般市面上都是修改后台登陆地址。那样子需要修改代码。这里介绍一个更简单的一个方式(目录保护) 

因为宝塔这个没有默认给一个URI防御，所以这里需要改一下。(后续提供URI防御) 

 找到这个目录的文件

 只需要删除/*,如下：

 然后访问后台 

五、插件+主题后门防御

 
这里也是通过一个简单的策略来防御很多问题,首先分析一下目录结构

wp-admin  后台   （设置目录防御）
wp-content  内容
wp-includes  引用的类

5.1 设置网站目录为root 755 （当前网站文件目录）

 5.2 设置图片目录为www

图片目录为/www/wwwroot/word.com/wp-content/uploads,设置www权限

5.3 设置后台不允许访问(/wp-admin/)

 5.4 设置图片目录不允许执行PHP（这步骤很重要）

暂时宝塔面板还没有设置不允许执行php的选项。后续版本会出来，感谢大家的支持。这里只能自己改一下Nginx的配置文件了

  location ~ ^/wp-content/uploads/.*\.php{      deny all;    }

测试一下。在/wp-content/uploads/ 目录下建立一个111.php

访问测试

已经不能执行php了。这就OK了！