wordpress网站不安全总是被黑，有哪些安全策略？

很多新手建站发现觉得wp网站不安全，容易被黑，其实是很多安全基础工作没有做到位导致的。

用WordPress开发的网站，如果被黑，99%都是没有升级造成的。这既包含了主程序更新，也包括插件和主题更新

主程序更新

WP主程序一定要保持最新，这是个老生常谈的话题了。WP作为市场占有第一的CMS，是有无数黑产盯著的，但是WP又是升级更新最频繁的CMS，每个月都有小到0.0.1的版本号升级，有时候还有多次，多是给安全打补丁。这就形成了一个有趣的现象：

最不安全的CMS：旧版本的WordPress

最安全的CMS：最新版的WordPress

插件和主题更新

但是升级最新版有时候是会带来问题的。如果你的WP网站是由一大堆插件堆起来的，那么升级WP主程序就好比走钢丝，如履薄冰。指不定哪个插件就和最新版主程序没有及时做好兼容更新，造成大大小小的问题。每多一个插件，就多一点这样的风险，插件多了风险就很大。所以我本人又要强调一下自己的开发理念，就是尽量不用插件，能少用一个就少用一个。并且如果用了，插件也要保持更新。

不更新的旧版插件，除了增加和新版主程序不兼容的概率外，本身也可以造成安全隐患。WP庞大的用户基数，造成不少插件（或主题）也有庞大的用户数，所以各种黑产黑客也会对一些插件主题进行漏洞扫描，不更新这些插件主题，也是把漏洞暴露在外。

是否要用安全插件？

有些人会推荐一些WP安全插件，比如WP defendor。我个人则相反，还是那句话，能少用一个插件都是好的。安全插件并不增加网站的业务功能，反而明显拖慢后台速度。其实如果能保持主程序和其他必用插件的及时更新，那已经能防住99%的攻击了。

剩下的1%，如果你想做得绝对一点，也就下面推荐几点：

1. 修改WP后台登录入口地址，并且看心情偶尔不定期去改改密码2. 把伺服器的SSH登录埠给改掉，并且看心情偶尔不定期去改改密码

3. 做好自动备份兜底，比如在阿里云你设置个每周备份一两次的自动镜像，没几块钱。有了自动备份，其实根本不怕被黑，真被黑我再还原回来就行了，小公司小项目大都不差你几个小时的数据，没影响。。。

太麻烦或者有难度的手段不推荐，意义不大，本文只是科普而已（其实我也只会科普...）

我时常会遇到一些人给我吐槽，网站被黑了，网站挂马了，数据丢失了怎么办？能帮我恢复么？等等这一类的人，其实我表示很无奈，我表示也无能为力啊。大部分的挂马清理起来确实不太容易的需要一定的技术门槛和知识，所以我们建议一般这类问题是以预防为主，真的被黑也不是不可以恢复，只是代价比较高了，所以还不如做好日常的防范工作，及时被黑了也不会惊慌失措。

那么网站日常的运营维护要做好哪些安全工作呢？今天给大家分享wordpress网站不安全总是被黑？是因为你忽视了这几点工作-WordPress建站吧?

zouaw.com

一、备份备份备份

这个是最主要和根本的任务了，凡是经历过这种数据丢失网站被黑的绝望的人都能有所体会，所以做好网站的日常备份工作尤其重要，我是如何做好备份的呢？首先伺服器有磁碟的快照定期备份网站，我一般是设置的每天或者2天备份一次，其次一般安全了宝塔面板的用户，备份起来尤其简单，这个备份是可以选择把网站和资料库文件备份到本地自己伺服器或者是OSS对象存储一类的地方，几乎使用了这2大备份就能确保万无一失了，当然也可以再定期备份到自己的网盘本地电脑等地方，以备不时之需。总之备份工作从建站开始就一定要做。

二、适当的使用WordPress相关的安全插件

因为无时无刻基本都有人想要来攻击攻破你的网站，他们并不会考虑你的网站有没有流量有没有价值等，都是批量的不放过。一方面是透过暴力的猜密码方式来猜你的密码，只有有足够时间和算力一般都是可以的，其次他们可能寻找你网站的漏洞，主题插件的漏洞，或者404扫描企图寻找你网站的备份或者是敏感信息，然后试图窃取到比如你的站点备份资料库文件，很多把资料库备份文件放到根目录下，如果一旦被盗很容易找到你的用户名和密码，因为有海量的md5密码库可以反查到你的密码....

WordPress本身安全性并不低，及时升级和官方WordPress版本保持一致基本都不会出现什么大问题。

一般WordPress被黑都是使用的主题或插件存在漏洞导致的，所以在使用主题和插件尽可能的选择官方且正规的主题和插件来使用，避免通过网站随意下载上传安装到本身就有漏洞的主题插件的情况。

WordPress网站被黑，其实更多是网站主机的安全设置，只要wordpress保持更新，被攻破的可能性很低。一般建站，新手一般放在虚拟主机上，这个就要看主机商的实力和技术了，大厂一般都能及时升级和补上漏洞，小厂商就很难说了。如果是自己购买VPS或者伺服器，就需要有一定的技术，自己安装生产环境以及配置安全措施，具体的技术措施这里就不罗列了。最重要的其实就是保持系统更新，还有就是尽量少装用不到的服务，如果你用的linux系统，只开放必要的网站访问埠，也就是80和443两个，改掉默认的22端头，禁止root和密码登录，有需要的时候才在主机商后台打开。我自己的经验，除了使用虚拟主机被黑过一两次，十年内几乎没有这方面的问题。供参考。

基础安全做到位，加上使用好些的主机空间，基本可以杜绝安全问题，无需过度担心。

1.选择安全可靠的主机

谨慎选择一款安全可靠的主机，不要使用免费主机和劣质主机。免费主机只适合用来学习程序和建站方法，一直不建议使用免费主机来托管正式上线的网站。当然了，最好也不要使用那些特别廉价，管理经验不足的主机商的服务。

2.升级到WordPress最新版或者稳定版本

只从WordPress官方下载源码，不要到第三方网站下载。尽可能升级到WordPress最新版，及时修补程序漏洞，包括WordPress核心源码、WordPress主题以及WordPress插件。

3.使用官方WordPress主题和插件

这里所说的官方，一是WordPress官方，二是主题或插件开发者的官方，尽量避免使用「破解」版主题、插件，慎用网上传播的原本是收费，但是被人恶意提供免费下载的主题、插件。

4.修改资料库默认前缀 wp_

很多朋友安装WordPress都没有修改资料库前缀，如果你打算修改默认的前缀 wp_

5.修改默认的用户名 admin

WordPress 3.* 以上已经支持安装时自定义登录用户名，如果你使用默认的admin，建议你根据下面的方法进行修改：

方法一：后台新建一个用户，角色为管理员，然后使用新用户登录，删除默认的 admin 用户。

方法二：登录phpmyAdmin，浏览当前资料库的 wp_users 数据表，将 user_login 和 user_nicename 修改为新用户名。

6.使用高级密码，经常更换密码

建议使用含大写字母、小写字母、数字和其他符号的复杂密码，比如 nuH4j*aHG%dMz ，避免使用生日、手机号、QQ号等。

7.隐藏WordPress版本信息

默认情况下会在头部输出WordPress版本信息，你可以在主题的 functions.php 最后一个 ?&>

8.修改wp-admin目录的访问许可权

你可以通过限定IP地址访问WordPress管理员文件夹来进行保护，所有其他IP地址访问都返回禁止访问的信息。另外，你需要放一个新的.htaccess文件到wp-admin目录下，防止根目录下的.htaccess文件被替换。

9.定期备份网站数据

可以借助WordPress备份插件进行自动备份或手动备份

做防御啥的成本太高，那就做好周期性备份吧。

周期性备份资料库和图片即可。

安心

很简单，找专业的人做专业的事情，花钱找人帮你快速搞定。否则，你就会因为这些零碎的琐事，消磨掉你所有的商业计划和信心。

阿里云安全中心

反复被黑的原因是多方面的，一方面是网站程序版本比较老，都被黑客摸索透了，怎么防护都力不从心。另一方面，网站选用的很多插件，是第三方开发的，当第三方不再更新插件之后，也可能导致你网站程序版本不敢升级。

针对这种情况，建议如下处理：

第一步：在免费网站模板库中，找到与现有网站行业接近的企业网站模板。

免费网站模板下载站-提供Metcms整站企业网站模板源码免费下载?

www.metcms.cn

第二步：按照下载的压缩包中《安装说明.txt》安装网站模板。

第三部：将原网站的内容搬迁、制作到新的网站程序中。搬迁之后新的网站程序，都是由官方提供更新的，你只需要每个月1-2次上线登录后台，看看是否有新的版本发布，如有在线升级的提醒，按时升级即可降低很多的被黑几率。

网站被黑还有很多其它的因素，也建议你参考一下内容，自己处理。

MetInfo米拓建站系统中马被黑了怎么办?

www.mituo.cn

建议一——使用SSL证书

　　如果WordPress网站需要密码或接受信用卡付款，那么应该强制使用SSL证书。该证书允许浏览者在其浏览器和网站之间形成一个安全的连接，SSL证书有免费和付费两种。免费的SSL证书提供最低限度的安全性，而付费的SSL证书有多种。更昂贵的证书还将提供欺诈保护，以确保交易受到保护。bluehost的美国主机，香港主机等产品都赠送有免费的SSL证书，当然也可以升级为专业的SSL数字证书。

　　建议二——使用双重身份认证

　　用户最容易被黑客攻击的方式之一就是通过他们对网站的访问。虽然WordPress可以限制用户使用更安全的密码，但在WordPress管理员控制面板中仍然可以绕过这一要求。使用双重身份认证可以对登录的人进行二次检查，以确保他们合法。这通常通过移动设备或通过像Google Authenticator这样的认证应用程序来完成。可以通过WordPress中的插件安装双重身份认证，或者通过主机界面中的选项安装。例如，一般美国主机/香港主机等cPanel提供了可用智能手机进行验证的双重身份认证。由于人们经常使用的密码容易被破解，使用双重身份认证将有助于防止入侵。

　　建议三——使用安全服务或插件

　　可能认为自己最了解如何在不使用服务的情况下保护网站，但通常不会每时每刻都在监控网站。建议使用安全服务或插件，以帮助保持WordPress网站的安全。很多时候这些服务不仅包括24小时监控，还包括帮助保障网站的集成备份服务。一些服务和插件的例子是Automattic Jetpack安全服务和Sucuri，可能要为一定程度的保护支付一点钱，但它将节省大量的时间和金钱，让网站安心。