保持软件更新：定期更新WordPress核心、插件和主题，以修补已知漏洞并防止被黑客利用。

使用强用户名和密码：避免使用弱或常用用户名，并创建复杂的密码，同时建议使用密码管理器来生成和存储强密码。

限制登录尝试次数：通过插件如“Limit Login Attempts Rejected”来限制失败登录次数，减少暴力破解风险。

更改默认登录URL：更改默认的登录后台地址，以增加安全性。

实施双重身份验证(2FA) ：通过额外的验证方式(如手机验证码和密码)，提高安全性。

使用SSL证书：配置SSL证书加密数据传输，提升SEO表现并确保数据安全。

定期备份网站：根据网站更新频率选择合适的备份周期，使用插件自动备份并存储在云端。

禁用文件编辑功能：在wp-config.php 中添加代码，防止黑客篡改代码。

使用流量防火墙保护：对于小流量站点，使用宝塔面板的防火墙插件;对于大流量站点，推荐使用WAF。

禁用XML-RPC：通过修改配置文件禁用XML-RPC功能，防止恶意攻击。

安装安全插件：如Wordfence、Sucuri Security或iThemes Security等，监控网站活动、拦截恶意攻击和设置登录限制。

监控和响应：定期进行安全审计，准备安全事件响应计划，并使用在线工具扫描潜在的安全漏洞。

选择可靠的主机提供商：避免使用免费或不知名的主机提供商，以减少潜在的安全风险。

过滤垃圾评论：使用插件如Akismet来过滤垃圾评论，保护网站免受XSS等攻击。

限制插件数量：尽量少装插件，从官方渠道下载，避免从不明来源获取插件。

使用付费主题：使用专业团队开发的付费主题，知道来源，出了问题有人负责。推荐使用themeforest、jianzhanpress等知名wordpress专业主题售卖平台的主题。

管理员账号安全性：限制登录次数，使用复杂密码和多种字符串组合，并限制登录次数。

数据库安全：不要使用默认的数据库表前缀，建议使用如wp_等前缀，并定期更改数据库密码。

目标受众定位：限制非中文用户访问，仅允许国内用户注册，减少CC攻击风险。