从管理员账号、自动更新、文件权限、登录保护和备份监控五个方面降低 WordPress 被入侵风险。
正确管理环境变量、数据库密码和 API 密钥,避免敏感信息进入镜像、日志和版本库。
为自建服务启用 HTTPS,覆盖域名解析、证书申请、自动续期、重定向和上线后的安全检查。
识别并清理日志、配置和截图中的密钥、令牌、个人信息与内部网络信息,降低数据泄露风险。