之前也分享过一些对WordPress网站的安全设置，如【任意代码执行漏洞攻击及WordPress网站防护方法】、【文件包含漏洞攻击介绍及WordPress网站防护办法】，而且大部分的小伙伴基本已经了解了一些安全设置内容。如

• 选择可靠的托管服务提供商 
• 安装定期更新 
• 自动进行异地备份 
• 使用强密码 
• 隐藏 wp-admin 登录链接 
• 使用安全插件 

但在本文中，还将介绍其他一些鲜为人知的技术，也就是压箱底的一些安全防护设置技巧，它们可以最大程度帮助你防止黑客入侵WordPress网站。

不仅仅是隐藏 - 禁用wp-admin

其实有很多方法可以隐藏网站的 wp-admin 部分，也有很多方法可以禁用它，只在需要时才启用。这可以通过插件实现，例如 WPS 隐藏登录，也可以通过 .htaccess 文件手动实现。

可在 .htaccess 文件中添加以下代码，它将把所有用户（您的 IP 地址除外）重定向到 404 页面。这种方法在攻击者/爬虫机器人看来就像 wp-admin 不存在一样，但不会破坏 WP 核心代码或硬编码 wp-admin 路径的插件。

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^ 11\.22\.33\.44$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

将以上11.22.33.44替换为您的 IP 地址。

另一个解决方案是，除了你自己的 IP 地址外，完全禁止所有 IP 地址访问 wp-admin，而不是重定向。只需在wp-admin文件夹中创建一个新的 .htaccess 并在其中添加以下内容：

## .htaccess inside the wp-admin folder
order deny,allow
deny from all
allow from 11.22.33.44

将 11.22.33.44 替换为您的 IP 地址。

将wp-config向上移动

wp-config.php 包含一些敏感信息：您的数据库用户名/密码等，良好的安全做法是将该文件移到网站根目录（您的 /public_html 文件夹）之外。要移动 wp-config.php 文件，只需将其中的所有内容复制到另一个文件中即可。

然后，在 wp-config.php 文件中添加以下代码段，就可以简单地包含其他文件了。

<?php
include('/home/cpanel-username/wp-config.php');

在WordPress中添加内容安全策略（CSP）

HTTP 内容-安全策略响应标头允许网站管理员控制允许用户代理（浏览器）加载给定页面的资源。这有助于防范跨站脚本攻击（Cross-site_scripting）。

对于 WordPress 网站，您可以通过在 .htaccess 文件中添加 CSP 规则来使用它。

<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; img-src 'self' http: https: *.gravatar.com; scrip-src 'self' 'unsafe-inline' http: https: *.google-analytics.com;"
</IfModule>

这将允许从网站加载任何内容，以及 Gravatar 和 Google Analytics 的个人资料照片（通过 http 和 https）。其他任何内容都将被浏览器屏蔽。

当然，某些插件可能会损坏，因为它们依赖于从其他域加载 javascript、图像或数据。例如，如果您想使用 Jetpack，就需要允许相应的域 : scrip-src 'self' 'unsafe-inline' http: https: *.wp.com;.

您可以在浏览器开发工具的控制台中查看任何违反这些规则的情况，并将它们添加到上述代码中！

还建议只在网站前台启用 CSP，并在 wp-admin/.htaccess 中添加此 CSP，从而禁用后台：

<IfModule mod_headers.c>
Header unset Content-Security-Policy
</IfModule>

您的网络服务器必须激活标头模块才能运行。如果不确定，请咨询您的主机提供商！

使用多因素身份验证

这样并没有很复杂，但实际上只有不到1%的WordPress网站启用了某种形式的多因素身份验证。

WordPress.org网站对双因素身份验证（2FA）进行了详细介绍，并列出了您可以用来设置双因素身份验证的插件列表：https://wordpress.org/support/article/two-step-authentication/。

除了 2FA，您还可以使用Magic Links等插件启用电子邮件登录链接

测试网站安全性

目前全世界的黑客们的创造力与日俱增，对WordPress网站的威胁也越来越大。因此，定期对 WordPress 网站进行测试至关重要。最好能在别人利用之前发现漏洞并自行修复。使用安全漏洞扫描仪发现安全弱点。测试您的 WordPress 应用程序、网络服务器、系统和防火墙是否存在任何问题。以上就是分享的压箱底的5个WordPress安全设置技巧。