全球约有31.9%的网站使用WordPress作为其内容管理系统(CMS)，互联网上每天还有另外50,000个新网站也使用WordPress。如果这还不足以让您相信WordPress是CMS市场的主导者，请再考虑一下Internet上排名前10,000的网站，其中3,845个由WordPress提供支持。显然，这一切对WordPress来说都是好事，但拥有这种流行度也有一个小缺点——CMS巨头也是试图渗透网站和网络安全系统的黑客最热门的目标。

由于其在全球范围内的流行和作为内容管理系统的压倒性优势，它是一个CMS，它经常成为犯罪分子的目标，他们试图劫持网站数据并持有它以勒索赎金或进行其他类型的安全威胁。这并不意味着WordPress的安全系统天生就很弱——事实上恰恰相反。无论其当前的安全系统多么强大，WordPress的早期版本在很大程度上仍然安装，而那些是最容易受到攻击的版本。如果你参考这个更新的WordPress统计数据，在所有被黑的WordPress网站中，39.3%是最新版本之前的版本，仅仅是因为它们不包括最新的保护。

如果您有一个WordPress网站，您应该优化以下内容以保护它：

1.确保您使用的是最新版本，因为该版本将包含所有最新的安全功能

2.保持所有插件最新，因为它们也容易受到攻击，尤其是互联网上最新的网络威胁

3.遵循下面列出的一些建议，因为这些都是经过验证的阻止网络攻击的技术。

虽然任何人几乎不可能猜出正确的密码和用户名以进入您的WordPress系统，但计算机猜出它要容易得多。对于WordPress网站尤其如此，因为系统将允许您继续猜测密码或用户名，即使您继续输入错误的条目也是如此。

当然，这是您可以更改的默认情况，但许多人并不知道它可以更改，并且他们保留默认行为。这使您的WordPress网站容易受到暴力攻击。为了防止这种情况发生，您可以使用一个简单的插件来阻止任何在输入错误次数达到指定次数后试图访问您网站的用户的IP地址。一旦你安装了LoginLockdown插件，这个漏洞就会被关闭，暴力攻击将不再可能。

默认情况下，WordPress允许所有人通过导航到您网站上提供的wp-admin或wp-login.phpURL轻松登录。每个人，包括黑客,?意识到这一事实，所以任何有犯罪意图的人都会知道登录页面的确切位置，这使得它容易受到各种类型的安全威胁。

如果黑客不知道您的登录页面在哪里，他们将无法对您的网站进行任何攻击。隐藏登录页面并防止网络罪犯找到它的最有效方法是简单地重命名URL。您可以使用登录锁定（如上所述）重命名您的登录页面URL，使其具有您选择的自定义字符串。一旦这个插件被激活，它会将所有访问wp-admin的尝试重定向回您的主页。

有一种粗略但有效的方法可以更改wp-login.php文件的名称。您所需要的只是访问您站点的文件并手动创建一个新的登录文件。以下是步骤：

1.复制wp-login.php中的代码，然后将其粘贴到新文件中。

2.用新文件名替换wp-login.php的每个实例。您可以使用快捷方式钥匙查找并替换以帮助您。

3.删除旧的wp-login.php文件。

您可以为您的WordPress网站获取多种类型的SSL。AltusHost为您提供3种类型的SSL证书，您可以将它们用于您的WordPress网站。您可以按照以下步骤从cPanel轻松安装SSL证书：

2.在“安全”选项下，单击“SSL/TLS管理器”

3.在“安装和管理SSL”下，选择“管理SSL站点”

4.复制您的证书代码，包括—–BEGINCERTIFICATE—–和—–ENDCERTIFICATE—–并将其粘贴到“Certificate:(CRT)”字段中

6.将中间证书链(CABundle)复制并粘贴到下面的框中证书权威包(捆绑式)

如果没有安装SSL协议，大部分信息将以普通文本形式来回发送。这意味着如果它被黑客拦截，它很容易被盗。如果安装了SSL协议，则不会发生这种情况，因为它使用一种加密算法，如果没有密钥，数据将无法读取。

通常，您只需提供用户名和密码即可登录网站，这被称为单因素身份验证。为了增加让任何人侵入您的系统的难度，您可以通过要求用户识别的辅助方法来实现双因素身份验证。

一旦用户正确提供了用户名和密码，您就可以向他们询问他们的手机号码，这样您就可以向该手机发送一个一次性密码。然后必须在屏幕上输入密码才能获得访问权限。或者，在正确输入用户名和密码后，您可以要求用户回答他们之前已经提供答案的秘密安全问题。可以使用已有的免费插件安装双因素身份验证。

猜测某人的用户名比猜测他们的电子邮件地址要容易得多，尤其是因为电子邮件地址往往要长得多。您可以通过强制用户使用他们的电子邮件地址而不是用户名登录来提高网站的安全性。

任何试图猜测电子邮件地址的黑客都必须知道地址的本地部分以及域名和顶级域所需的字符。这使得猜测变得更加困难，即使是在使用计算机进行暴力攻击时也是如此。为了防止用户使用他们的用户名登录并强制使用电子邮件登录，您可以安装WP电子邮件登录插件。

您可以通过在允许任何人访问wp-admin目录之前要求用户名和密码来为您的系统添加额外的安全层。这将迫使任何有犯罪倾向的人猜测两组用户名和密码才能进入您的系统。如果您的系统位于ApacheWeb服务器上，那么实现这一点的最简单方法是，因为Apache使您可以轻松地使用密码保护系统上的任何目录。如果Apache服务器不支持您的系统，您仍然可以通过与操作系统交互或安装名为AskApachePasswordProtect的免费插件来手动执行此操作。

WordPress允许管理员编辑系统中的任何插件文件和任何主题。由于这是事实，如果您的任何管理员帐户被网络罪犯成功入侵，他/她将能够在您现有的代码中插入有害或恶意代码。比这更糟糕的是，当发生这种渗透时，它几乎是检测不到的，因此有害活动可以在后台进行，而您却根本没有意识到。

防止这种情况的唯一方法是禁止文件编辑，这可以通过简单地在wp-config.php文件中添加一行代码来实现。这是您应该添加的代码行：

定义（'DISALLOW_FILE_EDIT'，真）；

一旦您插入了这行简单的代码，它将具有禁止从您的WordPress仪表板编辑任何类型的文件的效果，并且您将拥有一个额外的安全层。

上面的提示很简单，但对于提高WordPress网站的安全性很有用，尤其是当它是一个新网站时。如果您想为您的WordPress网站定制一个环境，建议使用WordPress主机托管它。您将获得WordPress网站的优化性能、安全性和易用性。