这也是一篇草稿了好几年的文章，一时半会儿也不大可能继续完善了

wordpress本身安全性，可以通过安装一些插件实现，

Akismet，

防垃圾评论

Disable XML-RPC-API，

禁用xmlrpc协议的一些api，减少针对 xmlrpc.php 的攻击。其中：

Security Settings: 4个选项全部启用，尤其第一个默认未开启"Disable JSON REST API" 推荐打开，

Limit Login Attempts Reloaded，

防止暴力登录尝试。推荐允许重试4次，把拦截时间设置成60分钟或更长时间

Cron Events

管理wordpress的定时任务调度器，在羼弱服务器上，wp-cron.php 容易跑死php进程，降低定时任务的执行频率，可以改善这问题。