问保护WordPress站点的标准方法

EN

如果您正在寻找某种“设置它并忘记它”的安全解决方案，那么您将感到失望。有些东西可以帮助降低风险，例如防火墙和模糊您的安装，但最终一个站点只会与运行它的软件以及用于管理它的进程和工具一样安全。

使用WordPress站点，您可以在WordPress内核旁边安装各种插件和主题，其中任何一个都可能包含安全漏洞。保持插件的最新更新是一个很好的实践，但它不能完全保护您，因为在最近的版本中，有一些插件存在0天的漏洞。因此，不幸的是，虽然保持最新是一个好的开端，但重要的是也要监测您使用的插件是否包含尚未修复的漏洞。( 插件漏洞插件可以通知您0天的漏洞；我在我的站点上使用它。)

除了软件方面的事情，你还必须考虑你是否遵循最佳实践，在你如何管理网站。你在使用安全连接吗？您的计算机是否安装了防病毒软件？是否禁用浏览器中除受信任的站点之外的所有脚本？以此类推。

最后，如果你的网站被黑客入侵，最重要的是找出攻击者是如何进入的。如果你不这样做，你的网站很可能仍然是脆弱的。但当你知道黑客是怎么进来的，你就可以解决这个问题。

总之，不幸的是，没有一个简单的解决方案。但是你可以做一些更多的事情来减少被黑客攻击的可能性，并在攻击发生后从攻击中学习。

对我来说最重要的一点是:重命名wp-login.php！机器人只检查默认值，甚至将其移动到/login/将大大降低野蛮强制的风险。显然，你仍然应该确保你的客户使用好的密码。编辑:在查阅了“隐藏我的WP”之后，它显然已经做到了。从我的名字，我认为他们是试图掩盖事实，你正在使用WP。

此外，一定要做一个验尸分析，以了解网站是如何被黑客入侵的，这样你就可以关闭这个漏洞。并确保您还原的备份不包含后门(但如果备份间隔很长，这通常意味着情况并非如此)。

对每个站点使用不同的(子)帐户，因此如果一个站点被感染，它只关注该站点。

如果您有很多插件，您可以尝试拒绝/wp/ plugins /a中对php文件的请求。插件应该通过/wp/admin-ajax.php进行AJAX，并且没有什么理由接收直接请求。“试一试”，因为即使他们应该这样做，也不意味着他们会这样做，所以如果你这样做，你将不得不测试任何东西是否坏了。