网站老被攻击，WordPress云服务器如何设置更安全？

网站老被攻击，是不是云服务器没选好？

不一定。WordPress 本身很流行，是黑客重点“关照”的对象，暴力破解、插件漏洞、弱密码等都会导致被攻击。很多时候问题出在：云服务器安全组乱开放、系统不更新、WordPress 和插件长期不升级、后台用弱密码等。只要把这些基础打牢，被攻击的概率会小很多。

WordPress云服务器安全设置，第一步该做什么？

先别急着装插件，建议按这个顺序走一遍：

1. 登录云服务商后台，把安全组改成“最小权限”：只放通 22（SSH）、80（HTTP）、443（HTTPS），其他一律关掉。
2. 把服务器系统补丁、Nginx/Apache、PHP 都升级到受支持的版本。
3. 给 WordPress 后台换个非 admin 的管理员用户名，设置一个包含大小写字母、数字和符号的强密码。

登录后台老是被暴力破解，怎么防？

可以分三层来防：

1. 改路径：用插件把默认的 /wp-login.php 改成只有你知道的地址。
2. 限制次数：安装登录防护插件，限制同一 IP 的登录尝试次数，并开启验证码。
3. 加二步验证：开启 2FA（双因素认证），即使密码泄露，账号也很难被登录。

WordPress 本身还有哪些地方要加固？

重点检查下面几项：

• 更新：核心、主题、插件都保持最新版，别用来源不明的盗版主题或插件。
• 权限：设置正确的文件权限（目录 755、文件 644，wp-config.php 600 左右），禁止 /wp-content/uploads/ 目录执行 PHP。
• 关闭编辑：在 wp-config.php 里加上 define('DISALLOW_FILE_EDIT', true);，禁止在后台在线编辑主题和插件文件。
• 数据库：修改默认的 wp_ 表前缀，给数据库用户只授予必要权限。

云服务器层面还能再做点什么？

建议再补上这几刀：

1. 关闭 root 远程登录，改用 SSH 密钥登录。
2. 安装 Fail2ban 等工具，自动封禁多次登录失败的 IP。
3. 开启云服务商提供的防火墙、WAF（Web 应用防火墙）或 CDN 自带的防护功能，可以有效拦截 CC 攻击、SQL 注入和 XSS。

网站已经被黑了，怎么办？

按“先止血、再清理、后加固”的顺序处理：

1. 下线网站：先把站点改为维护模式或直接关闭，避免影响更多访客和搜索引擎。
2. 备份现场：在服务器和本地各留一份完整的文件和数据库备份，方便后续排查。
3. 清理木马：检查并删除陌生的管理员账号、后门文件和被修改的模板文件，然后更新所有核心、主题和插件。
4. 改密加固：重置所有账号和数据库密码，开启 2FA，参考前面的步骤重新做一遍安全设置。

想一步到位，有没有省心的方案？

如果你不想自己一点点折腾，可以直接选择带 WordPress 优化和安全防护的云服务器套餐。配置好安全组、系统补丁、WAF 和自动备份，你只需要专心更新内容和运营网站就行。现在腾讯云正好有 WordPress 云服务器活动，配置和价格都比较友好，点击领取优惠，可以直达秒杀入口，先领券再下单会更划算。