最后更新时间为 2018年7月20日

网站的安全性在任何时候都是很重要的，特别是在网站经营若干年之后，有了更多的数据，更要保证网站的安全性，使用WordPress搭建的网站更是如此，特别是现在WordPress用户越来越多，使用越来越广泛，所以，被研究，被攻击，也是必然的。

本篇文章里提到的都是在WordPress安装之后的操作。

1，经常备份；

备份的意思，是文件和数据库都要备份，而且也包含附件。备份可以根据各自的特点来操作，比如WordPress的程序，如果不是每天都在修改WordPress主题的话，只要在每一次修改WordPress程序之后备份一次即可；附件，比如压缩包和图片，如果是存储在主机当中，那建议每周备份一次，毕竟每次备份到其他空间或者本地，是要消耗流量的；如果本身已经存储在第三方的网盘上，那就无需单独备份了；数据库，也每周备份一次即可。

这里推荐一款很好用的WordPress备份插件：BackWPup

WordPress备份的三个原则：

a,备份文件不能保存在相同的空间中；

b,必须是自动备份的；

c,设置备份文件的次数，比如保留最新的5次备份等；

2，保持WordPress程序在最新版

WordPress是一款开源的程序，因此有很多爱好者都很喜欢，而且发现问题都会及时的提交到WordPress官方，之前几次的更新，都是提交之后，WordPress官方及时更新处理，所以，保持WordPress一直在最新版，可以有效的避免安全问题；

3，使用复杂的密码并且经常更新

密码有两个，一个是WordPress的登陆密码；另外一个是主机的密码；不要只使用数字和字母，空格，~！@#这种也可以用，当然要记得，而且不定期更新，保证密码的安全性，但要自己记得。

4，经常检查WordPress程序

这里需要说一下WordPress的权限，在linux主机，运行在cgi模式下的WordPress程序，文件夹的权限是：755；文件的权限是：644；.htaccess的权限也是644（有些文件，比如sitemap的xml可能需要777的权限，就WordPress本身的权限，按照上面说的即可）。

通过主机控制面板，是可以看到权限的，如果有文件权限不对，建议先修改成正确的，然后打开文件，查看是否有恶意代码；常被入侵的文件有三个：根目录的wp-config.php;index.php和当前主题中的functions.php。

现在国内也有很多检测安全的网站，但还是建议使用国外的吧，比如：http://www.sucuri.net，当然cPanel主机（http://idc.wopus.org/foreign/cp/）控制面板目前已经内置了病毒扫描工具。

5，设置WordPress的security keys

安装WordPress之后，在wp-config.php文件中，有security keys，可以在 https://api.wordpress.org/secret-key/1.1/salt/ 中生成，都是随即的，直接复制到wp-config.php，保存即可。

6，选择性的使用WordPress插件和主题

其实很简单，插件和主题，尽量使用WordPress官方的。

我们遇到过极端的情况，一个WordPress爱好者制作了几款主题，都免费分享了，但他的主机被入侵了，所有的主题，都被插入了恶意代码，于是，使用之后，就悲剧了；当然这种情况也出现在WordPress官方，也被入侵过，但WordPress很好的处理，并且加强了预防。

插件更是如此了，使用之前，先衡量一下，是否真的需要。

WordPress的用户，都喜欢折腾，主要就是折腾主题和插件，但有选择性的，可以很好的保证WordPress安全性。其实，通过主题和插件威胁WordPress，是当前一种主流的方式。

如果您有其他的建议或者好的经验，请留言，我们会不断更新，希望大家都有安全的WordPress网站。