保护 WordPress 安装实例的安全

若要检查并保证 WordPress 安装实例的安全：

1. 进入 WordPress。
2. 进行以下任一操作：
   • 若要检查所有 WordPress 安装实例的安全性，请点击 检查安全性。
   • 若要保证单个 WordPress 安装实例的安全，请点击所需 WordPress 安装实例名称旁边的 S 列。
   • 若要保证两个或多个 WordPress 安装实例的安全，请选择 WordPress 安装实例对应的复选框，并点击 检查安全性。
3. 请选择您想要应用安全提升所对应的复选框，然后点击 安全。

警示： 请记住不是所有的安全提升都能回滚。建议在保证 WordPress 安装实例的安全之前备份相应的订阅。

WordPress 的所有安全提升

• wp-content 文件夹。wp-content 目录可能包含不安全的 PHP 文件，这些文件可用于破坏您的网站。安装了 WordPress 之后，可从 wp-content 目录执行 PHP 文件。安全检查会验证是否已禁止执行 wp-content 目录中的 PHP 文件。请注意，在 .htaccess 或 web.config 文件中的自定义指令可能会覆盖此安全措施。还要注意，在保护 wp-content 文件夹后，您的一些插件可能会停止工作。
• wp-includes 文件夹。wp-includes 目录可能包含不安全的 PHP 文件，这些文件可用于破坏您的网站。安装了 WordPress 之后，可从 wp-includes 目录执行 PHP 文件。安全检查会验证是否已禁止执行 wp-includes 目录中的 PHP 文件。请注意，在 .htaccess 或 web.config 文件中的自定义指令可能会覆盖此安全措施。还要注意，在保护 wp-includes 文件夹后，您的一些插件可能会停止工作。
• 配置文件。wp-config.php 文件包含数据库的验证凭据和其它的敏感信息。安装了 WordPress 之后，可执行 wp-config.php 文件。如果，由于某些原因，web 服务器在处理 PHP 文件的过程中关闭，黑客便可以访问 wp-config.php 文件的内容。安全检查会验证是否已阻止未经授权访问 wp-config.php 文件。请注意，在 .htaccess 或 web.config 文件中的自定义指令可能会覆盖此安全措施。
• 目录浏览权限。如果目录浏览打开，黑客可以获得有关您网站的信息（使用的插件等）。在 Plesk 中目录浏览默认为已关闭。安全检查会验证是否已关闭 WordPress 安装实例上的目录浏览。
• 数据库前缀。在所有 WordPress 安装实例中 WordPress 数据库表具有相同名称。当数据库表名称的标准前缀 wp_ 被使用时，整个 WordPress 数据库结构就无法保密，任何人都可以从中获取任何数据。安全检查会更改数据库表格名称前缀为除了 wp_ 之外的其它前缀。维护模式会打开，所有插件会停用，在配置文件中更改前缀，在数据库中更改前缀，插件会重新激活，永久链接结构会刷新，然后维护模式会关闭。
• 安全密钥。WordPress 使用安全密钥（AUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEY 和 NONCE_KEY）以保证更好地加密存储在用户 cookie 中的信息。一个好的安全密钥应该很长（60 个字符或更长），随机且足够复杂。安全检查会核实安全密钥已设置并且至少包含字母和数字字符。
• 文件和目录权限。如果文件和目录的权限不符合安全策略，这些文件便可用于攻击您的网站。安装了 WordPress 之后，文件和目录可以有不同的权限。安全检查会核实 wp-config.php 文件的权限设置为 600，其它文件的权限为 644，且目录的权限为 755。
• 管理员的用户名。安装了 WordPress 副本后，默认会有一个拥有管理员权限且用户名为 admin的用户。由于在 WordPress 中用户的用户名无法更改，作为管理员只需猜测密码以访问系统。安全检查会核实不存在任何拥有管理员权限且用户名为 admin 的用户。
• 版本信息。每个 WordPress 版本都存在已知的安全漏洞。因此，显示 WordPress 安装实例的版本会使黑客更容易将它做为目标。可在页面的元数据和 readme.html 文件中看到未受保护的 WordPress 安装实例版本。安全检查会核实所有readme.html 文件是空的，并且每个主题都有一个 functions.php 文件，该文件包含以下行： remove_action(\'wp_head\', \'wp_generator\');.