保持使用最新版本的WordPress；

不要修改WordPress的内核代码；

确保所有插件更新到最新版本；

移除所有未激活、未启用的插件；

确保所有主题更新到最新版本；

仅安装下载自其官方网站的插件、主题和脚本程序；

选择安全可靠的WordPress主机服务商；

确保你的网站运行在最新版的PHP版本上；

修改默认的admin用户名；

使用强健安全的密码；

不要重复使用密码；

注意保护密码的安全，不要使用文本格式来保存密码；

只在可信任网络中更新你的网站；

本地计算机要安装杀毒软件；

使用Google Search Console等类似服务监控网站安全；

使用安全防护插件来保护你的WordPress网站；

如果其他步骤失败了，那使用备份文件恢复网站；

限制尝试登录的行为；

启用双重认证

确保文件权限设置正确；

修改默认的数据库表前缀；

确保设置了WordPress秘密认证验证密钥；

禁用执行PHP代码；

隔离数据库；

限制数据库用户的权限；

禁止文件编辑；

保护wp-config.php文件的安全；

禁用xml-rpc功能（如果你不需要这一功能的话）；

禁用PHP错误报告功能；

安装防火墙；

使用CDN防火墙；

通过安全日志监视WordPress网站安全。