“网站做好了还会被黑?”——这是很多新手不懂网站安全的真实写照。
WordPress 本身的安全性没问题,全球 43% 的网站都跑在它上面。但很多人因为缺乏安全意识,建了站就把门敞开着。下面 6 个错误,是我见过最常犯的。
1. 使用 “admin” 作为管理员用户名
WordPress 默认的管理员用户名就是 “admin”——这意味着黑客已经知道用户名的一半了,只需要猜密码。安装 WordPress 时,不要用 “admin” 作为用户名。如果已经用了,新建一个管理员账号,然后删除 “admin”。
2. 弱密码
“谁会来黑我的小网站?”——黑客不是人工来破解的,他们用的是自动化脚本,每秒可以尝试成千上万次登录。弱密码在这种暴力破解面前撑不过 1 分钟。使用至少 12 位的密码,包含大小写字母、数字、特殊字符。更推荐使用应用程序密码替代传统密码登录。
3. 不更新 WordPress 核心、主题和插件
WordPress 和它的主题、插件不断更新——除了增加新功能,更重要的是修复安全漏洞。很多黑客专门盯着没更新的老版本,因为漏洞已经公开了。确保自动更新已打开,定期更新主题和插件,删除不使用的主题和插件。
4. 使用盗版/破解主题和插件
淘宝上 ¥10-20 的”破解主题”看起来划算——但这是最危险的。破解版经常被人植入后门代码。一旦安装,就等于把远程控制权交给了一个陌生人。你的网站可能会被用来发垃圾链接、植入恶意代码、甚至变成攻击别人的肉鸡。所有的主题和插件都从官方渠道获取。
5. 不限制登录尝试次数
WordPress 默认允许无限次尝试登录,意味着黑客可以通过自动化脚本不断试密码——总有猜对的时候。安装登录限制插件(如 Limit Login Attempts Reloaded),设置连续输错 3-5 次后锁定 IP。
6. 不备份网站
这不是”防止被黑”的措施,而是”被黑了之后怎么办”的措施。没有备份意味着一旦网站被黑、数据库损坏、或者你误删了什么——你只能从头再来。设置自动定期备份,备份文件存储在不同位置(本地 + 云端),定期测试备份文件是否可用。
你的 WordPress 安全吗?
- ✅ 不使用 “admin” 用户名
- ✅ 使用强密码
- ✅ 核心、主题、插件都是最新版本
- ✅ 没有使用破解版主题/插件
- ✅ 安装了登录限制插件
- ✅ 有自动定期备份
- ✅ 删除了不用的主题和插件
如果你的网站这 7 项全部打勾,安全性已经很不错。有没做到的——现在去处理,5 分钟就能搞定大部分问题。
我们的托管建站套餐已经包含了安全配置和自动备份,不需要你自己操心。建完你只管管理内容和查看后台就行。