在 wordpress 网站上实际上有一个非常好的指南 - Hardening WordPress。

但是我个人的简短清单是

• mod_security - @atdre 已经提到 mod_security 这是一个非常好的步骤。然而，它确实需要对核心规则集进行大量调整，以允许 wordpress 正确运行。您还很可能需要根据您使用的插件自定义规则集。
• 文件权限- 见这里
• 通过 SSL 管理- 将 SSL 用于管理区域，请参见此处。
• 更新- 我认为最重要的是让 wordpress 保持最新。通过使用内置工具、手动修补或使用更新脚本（我写了这个）。

带有核心规则集的 ModSecurity 还不错，但最好为应用程序接受的每个输入显式配置它，并修复它在出站时发送的未转义输出。这在完全代理模式下效果最好，但嵌入式还有一些其他独特的优势。两者都使用可能很聪明，特别是因为 Wordpress 非常不安全。

一个步骤是保护服务器（通常是 Apache），这在我之前的Hardening Apache Server问题的回答中有所概述

1. 更改管理员帐户用户名。如果黑客已经知道您的用户名，那成功了一半，他会尝试猜测您的密码。
2. 在安装过程中更改 WordPress 表前缀。
3. 使用.htaccess文件，您可以通过 IP 地址锁定 wp-admin 目录。这意味着只有您指定的 IP 地址才能访问您的管理仪表板 URL。
4. 为管理员登录和 ftp 访问设置强密码。