如何打造一個(gè)安全的WordPress站點(diǎn)

wordpress 2023-12-24編輯：重慶網(wǎng)站建設(shè) WordPress 如何打造 站點(diǎn)

現(xiàn)在全球有超過33%的網(wǎng)站在使用WordPress程序，這意味著，WordPress已經(jīng)是關(guān)注的焦點(diǎn)，那么會(huì)被更多的研究，讀源代碼，測試網(wǎng)站安全性。

雖然WordPress程序一致在更新，但過一段時(shí)間WordPress官方還是會(huì)發(fā)布新版的WordPress程序，基本上是小版本更新，主要是修復(fù)已經(jīng)存在且被驗(yàn)證過的安全問題。

而且經(jīng)常有使用WordPress程序的朋友問，說網(wǎng)站手機(jī)版會(huì)跳轉(zhuǎn)到一些亂七八雜的網(wǎng)站，網(wǎng)站根目錄及一些目錄出現(xiàn)一些不規(guī)則的目錄及文件，在根目錄的index.php和wp-config.php出現(xiàn)一些類似亂碼的代碼。這些都表明，WordPress網(wǎng)站并沒有想象中的那么安全。

所以，打造一個(gè)安全，穩(wěn)定運(yùn)行的WordPress是一件非常重要的事情，Wopus做了這么多年WordPress相關(guān)服務(wù)，今天寫下這篇文章，把一些經(jīng)驗(yàn)分享給有需要的朋友。

1，確保使用云主機(jī)；在過去幾年這是不現(xiàn)實(shí)的，但是最近兩三年，云主機(jī)價(jià)格已經(jīng)降低很多了，降低到可以接受的價(jià)格了，另外就是，使用共享主機(jī)，你可以確保自己的賬戶安全，但沒辦法保證共享主機(jī)其他主機(jī)賬戶的安全，雖然會(huì)相互隔離，但這增加了不穩(wěn)定的風(fēng)險(xiǎn)。

2，使用安全的域名DNS；域名DNS一致都是不被重視的，但確實(shí)網(wǎng)站穩(wěn)定運(yùn)行的重要一環(huán)，有興趣的朋友可以去新浪微博搜索一下域名DNS故障，看看能搜索出來多少信息。比較出名的域名DNS服務(wù)商：一般域名注冊商都提域名DNS服務(wù)，但這些并不是非常穩(wěn)定，又或者不是很好用。dnspod.cn是一個(gè)，騰訊云使用的也是dnspod.cn，阿里云自己研發(fā)了dns，還開發(fā)了收費(fèi)的DNS服務(wù)器。從某一個(gè)角度來說，所有的域名提供商都希望賣域名而不提供域名DNS服務(wù)，畢竟優(yōu)質(zhì)的DNS服務(wù)是需要很大投入的。

3，從正確的途徑購買或者下載使用WordPress主體及插件。正確的途徑包含但不僅有：收費(fèi)WordPress主題/插件作者官網(wǎng)，WordPress.org；盡量不要從第三方網(wǎng)站購買主題（淘寶是最大的源頭，購買的主題沒售后，而且沒升級(jí)的保證，沒升級(jí)的保證就沒有安全的保證）。

4，及時(shí)升級(jí)WordPress程序，主題及插件。

5，WordPress插件如果超過6個(gè)月沒更新，大概率這款插件作者已經(jīng)不會(huì)再更新了，所以，需要?jiǎng)h除這個(gè)插件，然后找一個(gè)功能類似的插件替換。WordPress主題也有類似的問題。

一個(gè)比較普遍的問題是：WordPress已經(jīng)發(fā)布超過10年了。國內(nèi)最早一批的網(wǎng)站時(shí)2011/2012年制作的，而且是展示為主，這樣的網(wǎng)站有幾個(gè)問題比較嚴(yán)重：

使用的主題/插件大多數(shù)已經(jīng)沒有更新，因?yàn)槿粘Ｊ栌诠芾恚琖ordPress程序也沒更新。但因?yàn)榘踩夷靥岵坏貌桓?，發(fā)現(xiàn)最新版的WordPress程序已經(jīng)不能運(yùn)行之前使用的模板了，但是模板也已經(jīng)沒更新，所以，如果更細(xì)網(wǎng)站，相當(dāng)于重新做一個(gè)網(wǎng)站。

但不更新，網(wǎng)站隨時(shí)有可能被攻擊，所以，這樣的境地非常尷尬，但卻是很多網(wǎng)站遇到的問題。

所以，一旦出現(xiàn)不兼容的情況，就要找人看是否有修復(fù)兼容性的可能，如果沒有，就要及時(shí)尋找新的主題了，所以，模板選擇是一件非常重要的事情。

6，安裝WordPress安全插件，Wopus之前推薦過一款WordPress安全插件?。

7，最后分享一下網(wǎng)站已經(jīng)被植入惡意代碼的修復(fù)思路：

a,如果是共享主機(jī)，就要先聯(lián)系主機(jī)提供商，問問是否是服務(wù)器的問題，如果不是，就可以開始檢查網(wǎng)站代碼了；

惡意的代碼一般分為兩種，一種是惡意文件，這些文件一般分為兩類：一類是完全不規(guī)則的命名，一類是類似WordPress系統(tǒng)默認(rèn)文件，都是PHP結(jié)尾的，所以一定要檢查清楚。

另外一種就是惡意代碼，會(huì)插入到已經(jīng)存在的系統(tǒng)php文件里，這個(gè)也是不規(guī)則的，但wp-config.php，首頁index.php肯定會(huì)被插入惡意代碼。

b,接著繼續(xù)檢查WordPress主題和插件，這兩個(gè)是最容易的出問題的，因?yàn)橹黝}和插件來源有不可控，所以最容易出問題，還是上面的一個(gè)原則，盡量選擇來路正常的，插件一定要選擇wordpress.org官方收錄而且一直更新的。

c,當(dāng)然WordPress程序是一定要更新到最新版的。

d，這里說回最開始，惡意代碼如果非常多的，比如使用安全插件處理也非常麻煩，比如要有幾百個(gè)，這樣就要重裝網(wǎng)站了，重裝網(wǎng)站只需要備份一下內(nèi)容：

• 數(shù)據(jù)庫；
• wp-content目錄下的所有主題，插件和uploads目錄。
• 備份所有的主題和插件只是為了做檢查對(duì)比使用，不能上傳到重置后臺(tái)的主機(jī)對(duì)應(yīng)目錄上，而uploads目錄就是要壓縮上傳的，所以需要把uploads目錄下所有目錄都檢查清楚，uploads圖片目錄只能有圖片，不會(huì)有任何以php結(jié)尾的惡意文件。

接著就是重置主機(jī)，重新安裝WordPress，導(dǎo)入數(shù)據(jù)庫，上傳檢查后的uploads目錄，然后對(duì)比主題和插件，有問題的檢查就不要用了，主題也是。

如果是獨(dú)立主機(jī)，也需要做一些事情，這個(gè)和選擇主機(jī)商也有關(guān)系，Wopus以后會(huì)寫一篇獨(dú)立云主機(jī)安全建議的文章。

整個(gè)過程就是這樣，如果惡意文件比較少，可以用安全插件掃描，對(duì)比，加固或者刪除。

從整個(gè)過程來源，養(yǎng)成良好的習(xí)慣，是更重要的事情。

• 上一章：【W(wǎng)ordPress教程】WordPress對(duì)接Hello免...
• 下一章：wordpress 邀請碼注冊插件 Ashuwp invi...