我将在三个层上解决这个问题：插件、核心和文件系统。

大多数安全问题都是通过第三方插件和主题产生的，所以正如雄心勃勃的阿米巴所指出的，你能做的最好的事情就是明智地选择那些插件和主题。

您还应该确保更新到WordPress的最新版本，因为它们总是修补大问题，但旧版本很容易受到攻击。由于WordPress博客非常常用（Google“inurl:wp login.php”），当你不将核心更新到最新版本时，你真的在要求它。

最后，有很多用户错误会导致问题——你无法更新FTP，所以你选择了777之类的东西，认为它会好起来，然后一些远程的nerdowell会解决这个问题并为你干杯。最好的做法是确保尽可能多地锁定文件系统上的权限——我认为chmod 755是首选级别。

使用一个对他们正在做的事情有线索的廉价主机。

安全插件、复杂的密码等都很可爱，也是必需的，但如果主机配置不当，堆栈无序，没有适当的管理，这些都不会有什么影响。

从一篇名为Hardening Wordpress.

最重要的事情是保持WP最新，使用字符串密码，并有一个安全的服务器设置。

您还可以使用某种监控。如果您自己不喜欢这样做，有一些服务可以做到这一点。我一直在使用Vaultpress 几个月了，我很满意。但安全扫描附带的软件包对于个人使用来说有点贵（40美元/月！），所以我想搬回去securi, 它有一个10美元/月的计划（但不包括备份…只是监控）。

有几个插件可以用来提高网站的安全性。它们是：

• Secure WordPress
• WP Security Scan

保护WordPress安装的方式与保护任何其他框的方式相同。找出需要访问权限的人，只给他们访问权限，强制实施强大的密码策略，并限制暴力连接的数量。

关于只安装您需要/信任的插件的部分是绝对重要的，但这不仅是为了安全，也是为了性能。

使用安全扫描程序，如wpscan或WPScans.com 并检查安全漏洞。

WPScans。com还可以随时间监视WordPress站点。wpscan是开源的，可以从Github下载。还有另一个用Python编写的版本，名为WPSeku.