wordpress網站不安全總是被黑，有哪些安全策略？

很多新手建站發現覺得wp網站不安全，容易被黑，其實是很多安全基礎工作沒有做到位導致的。

用WordPress開發的網站，如果被黑，99%都是沒有升級造成的。這既包含了主程序更新，也包括插件和主題更新

主程序更新

WP主程序一定要保持最新，這是個老生常談的話題了。WP作為市場佔有第一的CMS，是有無數黑產盯著的，但是WP又是升級更新最頻繁的CMS，每個月都有小到0.0.1的版本號升級，有時候還有多次，多是給安全打補丁。這就形成了一個有趣的現象：

最不安全的CMS：舊版本的WordPress

最安全的CMS：最新版的WordPress

插件和主題更新

但是升級最新版有時候是會帶來問題的。如果你的WP網站是由一大堆插件堆起來的，那麼升級WP主程序就好比走鋼絲，如履薄冰。指不定哪個插件就和最新版主程序沒有及時做好兼容更新，造成大大小小的問題。每多一個插件，就多一點這樣的風險，插件多了風險就很大。所以我本人又要強調一下自己的開發理念，就是盡量不用插件，能少用一個就少用一個。並且如果用了，插件也要保持更新。

不更新的舊版插件，除了增加和新版主程序不兼容的概率外，本身也可以造成安全隱患。WP龐大的用戶基數，造成不少插件（或主題）也有龐大的用戶數，所以各種黑產黑客也會對一些插件主題進行漏洞掃描，不更新這些插件主題，也是把漏洞暴露在外。

是否要用安全插件？

有些人會推薦一些WP安全插件，比如WP defendor。我個人則相反，還是那句話，能少用一個插件都是好的。安全插件並不增加網站的業務功能，反而明顯拖慢後台速度。其實如果能保持主程序和其他必用插件的及時更新，那已經能防住99%的攻擊了。

剩下的1%，如果你想做得絕對一點，也就下面推薦幾點：

1. 修改WP後台登錄入口地址，並且看心情偶爾不定期去改改密碼2. 把伺服器的SSH登錄埠給改掉，並且看心情偶爾不定期去改改密碼

3. 做好自動備份兜底，比如在阿里雲你設置個每周備份一兩次的自動鏡像，沒幾塊錢。有了自動備份，其實根本不怕被黑，真被黑我再還原回來就行了，小公司小項目大都不差你幾個小時的數據，沒影響。。。

太麻煩或者有難度的手段不推薦，意義不大，本文只是科普而已（其實我也只會科普...）

我時常會遇到一些人給我吐槽，網站被黑了，網站掛馬了，數據丟失了怎麼辦？能幫我恢復么？等等這一類的人，其實我表示很無奈，我表示也無能為力啊。大部分的掛馬清理起來確實不太容易的需要一定的技術門檻和知識，所以我們建議一般這類問題是以預防為主，真的被黑也不是不可以恢復，只是代價比較高了，所以還不如做好日常的防範工作，及時被黑了也不會驚慌失措。

那麼網站日常的運營維護要做好哪些安全工作呢？今天給大家分享wordpress網站不安全總是被黑？是因為你忽視了這幾點工作-WordPress建站吧?

zouaw.com

一、備份備份備份

這個是最主要和根本的任務了，凡是經歷過這種數據丟失網站被黑的絕望的人都能有所體會，所以做好網站的日常備份工作尤其重要，我是如何做好備份的呢？首先伺服器有磁碟的快照定期備份網站，我一般是設置的每天或者2天備份一次，其次一般安全了寶塔面板的用戶，備份起來尤其簡單，這個備份是可以選擇把網站和資料庫文件備份到本地自己伺服器或者是OSS對象存儲一類的地方，幾乎使用了這2大備份就能確保萬無一失了，當然也可以再定期備份到自己的網盤本地電腦等地方，以備不時之需。總之備份工作從建站開始就一定要做。

二、適當的使用WordPress相關的安全插件

因為無時無刻基本都有人想要來攻擊攻破你的網站，他們並不會考慮你的網站有沒有流量有沒有價值等，都是批量的不放過。一方面是透過暴力的猜密碼方式來猜你的密碼，只有有足夠時間和算力一般都是可以的，其次他們可能尋找你網站的漏洞，主題插件的漏洞，或者404掃描企圖尋找你網站的備份或者是敏感信息，然後試圖竊取到比如你的站點備份資料庫文件，很多把資料庫備份文件放到根目錄下，如果一旦被盜很容易找到你的用戶名和密碼，因為有海量的md5密碼庫可以反查到你的密碼....

WordPress本身安全性並不低，及時升級和官方WordPress版本保持一致基本都不會出現什麼大問題。

一般WordPress被黑都是使用的主題或插件存在漏洞導致的，所以在使用主題和插件儘可能的選擇官方且正規的主題和插件來使用，避免通過網站隨意下載上傳安裝到本身就有漏洞的主題插件的情況。

WordPress網站被黑，其實更多是網站主機的安全設置，只要wordpress保持更新，被攻破的可能性很低。一般建站，新手一般放在虛擬主機上，這個就要看主機商的實力和技術了，大廠一般都能及時升級和補上漏洞，小廠商就很難說了。如果是自己購買VPS或者伺服器，就需要有一定的技術，自己安裝生產環境以及配置安全措施，具體的技術措施這裡就不羅列了。最重要的其實就是保持系統更新，還有就是盡量少裝用不到的服務，如果你用的linux系統，只開放必要的網站訪問埠，也就是80和443兩個，改掉默認的22端頭，禁止root和密碼登錄，有需要的時候才在主機商後台打開。我自己的經驗，除了使用虛擬主機被黑過一兩次，十年內幾乎沒有這方面的問題。供參考。

基礎安全做到位，加上使用好些的主機空間，基本可以杜絕安全問題，無需過度擔心。

1.選擇安全可靠的主機

謹慎選擇一款安全可靠的主機，不要使用免費主機和劣質主機。免費主機只適合用來學習程序和建站方法，一直不建議使用免費主機來託管正式上線的網站。當然了，最好也不要使用那些特別廉價，管理經驗不足的主機商的服務。

2.升級到WordPress最新版或者穩定版本

只從WordPress官方下載源碼，不要到第三方網站下載。儘可能升級到WordPress最新版，及時修補程序漏洞，包括WordPress核心源碼、WordPress主題以及WordPress插件。

3.使用官方WordPress主題和插件

這裡所說的官方，一是WordPress官方，二是主題或插件開發者的官方，盡量避免使用「破解」版主題、插件，慎用網上傳播的原本是收費，但是被人惡意提供免費下載的主題、插件。

4.修改資料庫默認前綴 wp_

很多朋友安裝WordPress都沒有修改資料庫前綴，如果你打算修改默認的前綴 wp_

5.修改默認的用戶名 admin

WordPress 3.* 以上已經支持安裝時自定義登錄用戶名，如果你使用默認的admin，建議你根據下面的方法進行修改：

方法一：後台新建一個用戶，角色為管理員，然後使用新用戶登錄，刪除默認的 admin 用戶。

方法二：登錄phpmyAdmin，瀏覽當前資料庫的 wp_users 數據表，將 user_login 和 user_nicename 修改為新用戶名。

6.使用高級密碼，經常更換密碼

建議使用含大寫字母、小寫字母、數字和其他符號的複雜密碼，比如 nuH4j*aHG%dMz ，避免使用生日、手機號、QQ號等。

7.隱藏WordPress版本信息

默認情況下會在頭部輸出WordPress版本信息，你可以在主題的 functions.php 最後一個 ?&>

8.修改wp-admin目錄的訪問許可權

你可以通過限定IP地址訪問WordPress管理員文件夾來進行保護，所有其他IP地址訪問都返回禁止訪問的信息。另外，你需要放一個新的.htaccess文件到wp-admin目錄下，防止根目錄下的.htaccess文件被替換。

9.定期備份網站數據

可以藉助WordPress備份插件進行自動備份或手動備份

做防禦啥的成本太高，那就做好周期性備份吧。

周期性備份資料庫和圖片即可。

安心

很簡單，找專業的人做專業的事情，花錢找人幫你快速搞定。否則，你就會因為這些零碎的瑣事，消磨掉你所有的商業計劃和信心。

阿里雲安全中心

反覆被黑的原因是多方面的，一方面是網站程序版本比較老，都被黑客摸索透了，怎麼防護都力不從心。另一方面，網站選用的很多插件，是第三方開發的，當第三方不再更新插件之後，也可能導致你網站程序版本不敢升級。

針對這種情況，建議如下處理：

第一步：在免費網站模板庫中，找到與現有網站行業接近的企業網站模板。

免費網站模板下載站-提供Metcms整站企業網站模板源碼免費下載?

www.metcms.cn

第二步：按照下載的壓縮包中《安裝說明.txt》安裝網站模板。

第三部：將原網站的內容搬遷、製作到新的網站程序中。搬遷之後新的網站程序，都是由官方提供更新的，你只需要每個月1-2次上線登錄後台，看看是否有新的版本發布，如有在線升級的提醒，按時升級即可降低很多的被黑幾率。

網站被黑還有很多其它的因素，也建議你參考一下內容，自己處理。

MetInfo米拓建站系統中馬被黑了怎麼辦?

www.mituo.cn

建議一——使用SSL證書

　　如果WordPress網站需要密碼或接受信用卡付款，那麼應該強制使用SSL證書。該證書允許瀏覽者在其瀏覽器和網站之間形成一個安全的連接，SSL證書有免費和付費兩種。免費的SSL證書提供最低限度的安全性，而付費的SSL證書有多種。更昂貴的證書還將提供欺詐保護，以確保交易受到保護。bluehost的美國主機，香港主機等產品都贈送有免費的SSL證書，當然也可以升級為專業的SSL數字證書。

　　建議二——使用雙重身份認證

　　用戶最容易被黑客攻擊的方式之一就是通過他們對網站的訪問。雖然WordPress可以限制用戶使用更安全的密碼，但在WordPress管理員控制面板中仍然可以繞過這一要求。使用雙重身份認證可以對登錄的人進行二次檢查，以確保他們合法。這通常通過移動設備或通過像Google Authenticator這樣的認證應用程序來完成。可以通過WordPress中的插件安裝雙重身份認證，或者通過主機界面中的選項安裝。例如，一般美國主機/香港主機等cPanel提供了可用智能手機進行驗證的雙重身份認證。由於人們經常使用的密碼容易被破解，使用雙重身份認證將有助於防止入侵。

　　建議三——使用安全服務或插件

　　可能認為自己最了解如何在不使用服務的情況下保護網站，但通常不會每時每刻都在監控網站。建議使用安全服務或插件，以幫助保持WordPress網站的安全。很多時候這些服務不僅包括24小時監控，還包括幫助保障網站的集成備份服務。一些服務和插件的例子是Automattic Jetpack安全服務和Sucuri，可能要為一定程度的保護支付一點錢，但它將節省大量的時間和金錢，讓網站安心。