WordPress是一款世界知名的CMS系統(tǒng)，不僅可以創(chuàng)建博客網站，還可以用于建設企業(yè)網站、下載網站、商城等各類網站。功能非常強大、結構科學合理，深受廣大用戶喜歡。

雖然WordPress非常優(yōu)秀，但是為了保障網站安全，我們還是需要做一些必要的防護措施，方能提升WordPress的安全防護能力。

下面我們就來聊聊有哪些防護方法！

一、 文件防篡改保護

要防止入侵，防篡改是必不可少的。對文件做篡改防護有兩種方法：1、通過ACL策略實現(xiàn)   2、使用底層驅動實現(xiàn)

1、 通過ACL策略防篡改

防護思路：全站只給讀取權限；再對部分目錄開放寫權限，并禁止這些目錄執(zhí)行PHP腳本。

WordPress需要開放寫權限的目錄有：/wp-content/cache/、/uploads/

/wp-content/cache/：用于存放系統(tǒng)緩存文件和臨時文件

/wp-content/cache/：用于存放上傳圖片

注意：這兩個目錄務必禁止執(zhí)行PHP腳本。

這樣設置以后，黑客就只能往這2個目錄寫入文件，由于禁止執(zhí)行PHP腳本，即使黑客上傳了webshell，也無法運行。

此方法設置較為復雜，需要有很強的專業(yè)技術。另外局限性也較多，比如無法只對PHP文件做防篡改，需要對所有文件做防篡改。如果網站需要生成HTML靜態(tài)文件，就無法使用此方法了。

2、 使用底層驅動防篡改

使用底層驅動技術防護，即使用防篡改軟件。不同軟件設置方法不同，推薦使用《護衛(wèi)神.防入侵系統(tǒng)》，因為其內置WordPress防篡改規(guī)則，非常簡單的操作就可以開啟強大的防篡改功能（如下圖一），同時沒有副作用。

（圖一：WordPress防篡改模板）

如上圖，選擇“網站目錄”，安全模板選擇“WordPress安全模板”，防篡改功能就開啟了。系統(tǒng)立即啟動防篡改保護，同時不會影響管理員日常維護網站，沒有副作用（非常有特色的地方，大部分防篡改軟件都有副作用）。

當黑客上傳webshell的時候，攔截效如下圖二。

（圖二：WordPress防篡改攔截效果）

二、 網站后臺訪問保護

開啟防篡改保護后，還需要對后臺做下防護，防止黑客竊取后臺信息，進行合法的篡改操作（如設置網站配置信息，植入惡意代碼）。

防護思路也很簡單，給后臺設置二次密碼，或是限制特定區(qū)域才能訪問（如某個城市）�！�護衛(wèi)神.防入侵系統(tǒng)》的“網站后臺保護”模塊可以實現(xiàn)，填寫后臺地址，設置授權密碼以及允許訪問的區(qū)域，就可以了（如下圖三）。

（圖三：WordPress后臺保護）

如果不在授權區(qū)域的用戶訪問后臺，此時會要求輸入授權密碼（如下圖四）

（圖四：WordPress后臺攔截保護）

輸入正確的授權密碼，或是在授權區(qū)域的用戶，就可以正常訪問WordPress后臺（如下圖五）

（圖五：WordPress后臺訪問）

三、 防SQL注入、防XSS跨站腳本攻擊

SQL注入和XSS跨站攻擊是黑客常用的入侵手段，也需要做好防護。

《護衛(wèi)神·防入侵系統(tǒng)》自帶有SQL注入防護模塊（如下圖六），除了攔截SQL注入，還可以攔截XSS跨站腳本，一并解決全服務器的安全漏洞，攔截效果如圖七。

溫馨提示：此模塊默認已經開啟，無需再另行設置！

（圖六：WordPress注入防護）

（圖七：WordPress防SQL注入攔截效果）

怎么樣，是不是很簡單，只需要簡單兩步設置，就能輕松解決WordPress漏洞防護問題。