WordPress作为全球使用量最大的博客系统平台，其简易性让众多用户可以轻松搭建并使用自己的博客。然而，由于第三方软件的引入可能带来各种问题，特别是安全问题，因此本文将分享如何构建一个更安全的WordPress博客系统。

一、WordPress简介

WordPress是一款基于PHP语言开发的开源博客平台。用户可以在支持PHP和MySQL数据库的服务器上轻松搭建自己的网站，或者将其作为内容管理系统（CMS）来使用。原本设计为个人博客系统的WordPress，如今已经逐步演化成一款功能丰富的内容管理软件。

二、环境介绍

本文的测试环境是Centos8 + LNMP，具体包括：

• Nginx 1.18

• PHP 7.2

• Mysql 5.6

• 测试域名：word.com

在这个环境下，我们只有一个账户，并且将进行一些建议的安全设置以增强其作为博客系统的安全性。

三、后台加固

通常情况下，为了提高WordPress后台的安全性，我们会修改默认的登录地址。但是在这里，我们将介绍一种更为简便的方法------目录保护。

因为宝塔这个没有默认给一个URI防御，所以这里需要改一下(后续提供URI防御)。

找到这个目录的文件。

只需要删除/*：

然后访问后台：

四、插件+主题后门防御

为了增强WordPress的安全性，还可以通过一些策略来防止潜在的问题，包括对目录结构的分析以及相应的设置。

• wp-admin 后台（设置目录防御）

• wp-content 内容

• wp-includes 引用的类

1、我们首先将网站目录设置为root 755。

2、将图片目录设置为www，并对权限进行相应设置。

3、设置后台目录不允许被访问。

4、为了防止恶意执行PHP代码，我们对图片目录进行了特殊设置，使其无法执行PHP代码。

location ~ ^/wp-content/uploads/.*\.php{
deny all;
}

测试一下，在/wp-content/uploads/ 目录下建立一个111.php。

访问测试：

通过这些措施，就可以大幅提升WordPress网站的安全性。