如何打造一個安全的WordPress站點(diǎn)

wordpress 2023-12-24編輯：深圳網(wǎng)站建設(shè)閱讀（） WordPress 如何打造 站點(diǎn)

現(xiàn)在全球有超過33%的網(wǎng)站在使用WordPress程序，這意味著，WordPress已經(jīng)是關(guān)注的焦點(diǎn)，那么會被更多的研究，讀源代碼，測試網(wǎng)站安全性。

雖然WordPress程序一致在更新，但過一段時間WordPress官方還是會發(fā)布新版的WordPress程序，基本上是小版本更新，主要是修復(fù)已經(jīng)存在且被驗證過的安全問題。

而且經(jīng)常有使用WordPress程序的朋友問，說網(wǎng)站手機(jī)版會跳轉(zhuǎn)到一些亂七八雜的網(wǎng)站，網(wǎng)站根目錄及一些目錄出現(xiàn)一些不規(guī)則的目錄及文件，在根目錄的index.php和wp-config.php出現(xiàn)一些類似亂碼的代碼。這些都表明，WordPress網(wǎng)站并沒有想象中的那么安全。

所以，打造一個安全，穩(wěn)定運(yùn)行的WordPress是一件非常重要的事情，Wopus做了這么多年WordPress相關(guān)服務(wù)，今天寫下這篇文章，把一些經(jīng)驗分享給有需要的朋友。

1，確保使用云主機(jī)；在過去幾年這是不現(xiàn)實的，但是最近兩三年，云主機(jī)價格已經(jīng)降低很多了，降低到可以接受的價格了，另外就是，使用共享主機(jī)，你可以確保自己的賬戶安全，但沒辦法保證共享主機(jī)其他主機(jī)賬戶的安全，雖然會相互隔離，但這增加了不穩(wěn)定的風(fēng)險。

2，使用安全的域名DNS；域名DNS一致都是不被重視的，但確實網(wǎng)站穩(wěn)定運(yùn)行的重要一環(huán)，有興趣的朋友可以去新浪微博搜索一下域名DNS故障，看看能搜索出來多少信息。比較出名的域名DNS服務(wù)商：一般域名注冊商都提域名DNS服務(wù)，但這些并不是非常穩(wěn)定，又或者不是很好用。dnspod.cn是一個，騰訊云使用的也是dnspod.cn，阿里云自己研發(fā)了dns，還開發(fā)了收費(fèi)的DNS服務(wù)器。從某一個角度來說，所有的域名提供商都希望賣域名而不提供域名DNS服務(wù)，畢竟優(yōu)質(zhì)的DNS服務(wù)是需要很大投入的。

3，從正確的途徑購買或者下載使用WordPress主體及插件。正確的途徑包含但不僅有：收費(fèi)WordPress主題/插件作者官網(wǎng)，WordPress.org；盡量不要從第三方網(wǎng)站購買主題（淘寶是最大的源頭，購買的主題沒售后，而且沒升級的保證，沒升級的保證就沒有安全的保證）。

4，及時升級WordPress程序，主題及插件。

5，WordPress插件如果超過6個月沒更新，大概率這款插件作者已經(jīng)不會再更新了，所以，需要刪除這個插件，然后找一個功能類似的插件替換。WordPress主題也有類似的問題。

一個比較普遍的問題是：WordPress已經(jīng)發(fā)布超過10年了。國內(nèi)最早一批的網(wǎng)站時2011/2012年制作的，而且是展示為主，這樣的網(wǎng)站有幾個問題比較嚴(yán)重：

使用的主題/插件大多數(shù)已經(jīng)沒有更新，因為日常疏于管理，WordPress程序也沒更新。但因為安全我呢提不得不更新，發(fā)現(xiàn)最新版的WordPress程序已經(jīng)不能運(yùn)行之前使用的模板了，但是模板也已經(jīng)沒更新，所以，如果更細(xì)網(wǎng)站，相當(dāng)于重新做一個網(wǎng)站。

但不更新，網(wǎng)站隨時有可能被攻擊，所以，這樣的境地非常尷尬，但卻是很多網(wǎng)站遇到的問題。

所以，一旦出現(xiàn)不兼容的情況，就要找人看是否有修復(fù)兼容性的可能，如果沒有，就要及時尋找新的主題了，所以，模板選擇是一件非常重要的事情。

6，安裝WordPress安全插件，Wopus之前推薦過一款WordPress安全插件?。

7，最后分享一下網(wǎng)站已經(jīng)被植入惡意代碼的修復(fù)思路：

a,如果是共享主機(jī)，就要先聯(lián)系主機(jī)提供商，問問是否是服務(wù)器的問題，如果不是，就可以開始檢查網(wǎng)站代碼了；

惡意的代碼一般分為兩種，一種是惡意文件，這些文件一般分為兩類：一類是完全不規(guī)則的命名，一類是類似WordPress系統(tǒng)默認(rèn)文件，都是PHP結(jié)尾的，所以一定要檢查清楚。

另外一種就是惡意代碼，會插入到已經(jīng)存在的系統(tǒng)php文件里，這個也是不規(guī)則的，但wp-config.php，首頁index.php肯定會被插入惡意代碼。

b,接著繼續(xù)檢查WordPress主題和插件，這兩個是最容易的出問題的，因為主題和插件來源有不可控，所以最容易出問題，還是上面的一個原則，盡量選擇來路正常的，插件一定要選擇wordpress.org官方收錄而且一直更新的。

c,當(dāng)然WordPress程序是一定要更新到最新版的。

d，這里說回最開始，惡意代碼如果非常多的，比如使用安全插件處理也非常麻煩，比如要有幾百個，這樣就要重裝網(wǎng)站了，重裝網(wǎng)站只需要備份一下內(nèi)容：

• 數(shù)據(jù)庫；
• wp-content目錄下的所有主題，插件和uploads目錄。
• 備份所有的主題和插件只是為了做檢查對比使用，不能上傳到重置后臺的主機(jī)對應(yīng)目錄上，而uploads目錄就是要壓縮上傳的，所以需要把uploads目錄下所有目錄都檢查清楚，uploads圖片目錄只能有圖片，不會有任何以php結(jié)尾的惡意文件。

接著就是重置主機(jī)，重新安裝WordPress，導(dǎo)入數(shù)據(jù)庫，上傳檢查后的uploads目錄，然后對比主題和插件，有問題的檢查就不要用了，主題也是。

如果是獨(dú)立主機(jī)，也需要做一些事情，這個和選擇主機(jī)商也有關(guān)系，Wopus以后會寫一篇獨(dú)立云主機(jī)安全建議的文章。

整個過程就是這樣，如果惡意文件比較少，可以用安全插件掃描，對比，加固或者刪除。

從整個過程來源，養(yǎng)成良好的習(xí)慣，是更重要的事情。

• 上一章：【W(wǎng)ordPress教程】WordPress對接Hello免...
• 下一章：wordpress 邀請碼注冊插件 Ashuwp invi...