参考文章：wordpress安全插件-如何选择最佳wordpress安全插件提升网站保护

WordPress高手都在用的10个隐藏技巧，90%的人不知道

自定义登录页面URL

默认的WordPress登录地址是/wp-admin或/wp-login.php，但这容易被恶意攻击者利用。通过修改functions.php文件或使用插件（如WPS Hide Login），可以自定义登录URL，比如改成/my-secret-login，大幅提升网站安全性。

禁用XML-RPC接口

XML-RPC是WordPress的远程调用接口，但也是暴力破解的高频目标。如果不需要远程发布文章或使用移动端APP，可以在.htaccess文件中添加以下代码关闭它：

Order Deny,Allow

Deny from all

隐藏WordPress版本号

在页面源代码中，WordPress默认会显示版本号（如），这会让黑客更容易针对漏洞攻击。在functions.php中添加以下代码即可移除：

remove_action(‘wp_head’, ‘wp_generator’);

优化数据库自动清理

WordPress的修订版本、草稿和垃圾评论会拖慢数据库。通过wp-config.php定义以下参数，可限制修订版本数量并自动清理：

define(‘WP_POST_REVISIONS’, 3); // 最多保留3个修订版

define(‘EMPTY_TRASH_DAYS’, 7); // 7天后自动清空回收站

禁用古腾堡编辑器

如果你更习惯经典编辑器，可以通过安装插件”Classic Editor”切换回旧版，或者直接在functions.php中添加：

add_filter(‘use_block_editor_for_post’, ‘__return_false’);

加速后台加载

WordPress后台加载了大量脚本和样式，但并非所有用户都需要。通过以下代码禁用不必要的资源：

function disable_dashboard_scripts() {

if (!current_user_can(‘administrator’)) {

wp_deregister_style(‘wp-block-library’); // 禁用区块编辑器样式

使用wordpress极光ai-post插件自动写文章，实现全天无人值守自动发布原创文章

}

}

add_action(‘admin_init’, ‘disable_dashboard_scripts’);

强制使用SSL登录

即使全站未启用HTTPS，也能强制后台登录使用SSL。在wp-config.php中加入：

define(‘FORCE_SSL_LOGIN’, true);

自定义媒体文件路径

默认上传的图片会按年月分类，导致URL冗长。在wp-config.php中修改路径规则：

define(‘UPLOADS’, ‘assets’); // 所有文件直传至/assets文件夹

限制登录尝试次数

防止暴力破解的最简单方法是安装插件”Limit Login Attempts Reloaded”，或手动添加以下代码到functions.php：

function check_login_attempts($user, $password) {

if (get_transient(‘login_attempts_’ . $_SERVER[‘REMOTE_ADDR’]) >= 3) {

return new WP_Error(‘too_many_attempts’, ‘请1小时后再试’);

}

return $user;

}

add_filter(‘authenticate’, ‘check_login_attempts’, 30, 2);

彻底关闭Pingback

Pingback可能被利用发起DDoS攻击。在wp-config.php中关闭：

define(‘WP_POST_BY_EMAIL’, false);

define(‘WP_POST_BY_XMLRPC’, false);

参考文章：提升网站用户体验，必备的5个WordPress插件推荐！

本文标题：WordPress高手都在用的10个隐藏技巧，90%的人不知道
网址：https://www.wpjiguang.cn/archives/31079.html

---

本站所有文章由wordpress极光ai post插件通过chatgpt写作修改后发布，并不代表本站的观点；如果无意间侵犯了你的权益，请联系我们进行删除处理。
如需转载，请务必注明文章来源和链接，谢谢您的支持与鼓励！