WordPress 被黑：7 个需要注意的警告信号

作为 WordPress 网站所有者，您可能遇到的最令人沮丧和压力最大的情况之一就是发现您的网站已被黑客入侵。 一分钟您的网站正在嗡嗡作响，带来流量，并有望带来收入。 然后，接下来你知道，你发现你的 WordPress 网站出了点问题。

不幸的是，您的 WordPress 网站可能被黑客入侵的现实需要尽可能有效地处理，以确保它永远不会发生。 因为如果您发现自己面临被黑网站，您可能会问自己为什么您的网站，特别是，为什么会成为恶意攻击的目标，以及如何尽快将其恢复。

WordPress 黑客有多种形式、形状和大小。 这意味着，作为 WordPress 网站所有者，了解 WordPress 网站被成功入侵的所有常见原因非常重要。 在本指南中，我们将讨论 WordPress 网站被黑客入侵的常见原因以及您可以采取的简单步骤来保护您的网站。

发现自己在问“我的 WordPress 网站被黑了吗？ ” 意味着你需要一些快速的答案。 在这篇文章中，我们介绍了七个感染迹象以及如果您发现自己被黑客入侵该怎么办。

您发现网站违规迹象的速度越快，就可以越快地清理您的网站。 您清理网站的速度越快，黑客对您的网站造成的损害就越小。 注意：我们在这篇文章中提到的两件事是可靠的 WordPress 备份和 WordPress 安全解决方案的重要性。 我们强烈建议您尽快安装并激活 WordPress 安全插件和 WordPress 备份插件。

您的 WordPress 网站被黑客入侵的 7 个迹象

并非所有黑客都有相同的目标，因此网站入侵的迹象将取决于攻击者的动机。 以下是您在监控网站运行状况时需要注意的 7 种不同症状。

1. 你的主页不一样

对主页的更改似乎是一个明显的迹象。 但是，您实际上对您的主页或主页进行了多少次彻底检查？ 我知道我通常会直接访问我的登录 URL 而不是我的主页 URL。 从那里，我登录、更新我的网站或编辑帖子。 在我完成我来做的事情后，我经常不看我网站的主页就离开了。

一些黑客的主要目标是控制网站或声名狼藉。 因此，他们只会将您的主页更改为他们觉得有趣的内容，或者留下电话卡被黑的内容。

如果您确实注意到主页发生了变化，您可以使用由受信任的 WordPress 备份插件（例如 BackupBuddy）制作的备份文件快速轻松地恢复您的网站。

2.您的网站性能下降

当您的网站受到感染时，它可能会感觉缓慢。 如果您遇到暴力攻击，或者如果有恶意脚本使用您的服务器资源进行加密货币挖掘，您的网站可能会变慢。 同样，当 IP 网络同时向您的网站发送请求以试图使其崩溃时，就会发生 DDoS（或拒绝服务攻击）。

如果您的站点运行缓慢，请检查服务器访问日志中是否有意外数量的请求。 您还可以使用 Sucuri 提供的 Web 应用程序防火墙来帮助保护您的网站免受 DDoS 攻击。

请注意，性能下降并不一定意味着有人入侵了您的网站。 您可能只需要一些有关如何加速 WordPress 站点的提示。iThemes Security 插件的 WordPress 恶意软件扫描功能将有助于识别可疑脚本。

3. 您的网站包含恶意或垃圾邮件弹出广告

如果您的访问者看到将他们重定向到恶意网站的弹出窗口，那么黑客很有可能已经入侵了您的网站。 这种类型的攻击的目标是将流量从您的网站转移到攻击者的网站，以便他们可以针对点击欺诈的用户点击付费广告。

这种类型的黑客最令人沮丧的事情是您可能无法看到弹出窗口。 弹出式黑客可以设计为不对登录用户显示，这降低了网站所有者看到它们的几率。 因此，即使站点所有者注销，弹出窗口也永远不会显示。

如果您在浏览器中使用广告拦截器扩展程序，您对弹出窗口的查看也会受到限制。 例如，客户报告了一个弹出窗口黑客并分享了弹出窗口的屏幕截图和视频。 在我花了几个小时浏览他们的网站后，我无法重新创建他们报告的任何内容。 我确信他们的个人电脑被黑了，而不是网站被黑了。 最后，我明白了为什么我无法看到弹出窗口。 我在浏览器上安装了广告拦截器扩展程序。 一旦我禁用了广告拦截器扩展程序，我就可以在任何地方看到弹出窗口。 我分享这个令人尴尬的故事，希望能让您免于遇到同样的错误。iThemes Security 插件等 WordPress 安全插件可让您密切关注网站的安全日志，以了解文件更改、登录和用户所做的更改。

4. 您注意到网站流量减少

如果您登录您的 Google Analytics 帐户并发现网站流量急剧下降，则您的 WordPress 网站可能被黑客入侵。 网站流量下降值得调查。 您的网站上可能存在恶意脚本将访问者从您的网站重定向，或者 Google 可能已经将您的网站列入黑名单为恶意网站。

您要查找的第一件事是您网站的出站流量。 通过使用 Google Analytics 跟踪您的网站，您需要配置您的网站以跟踪离开您网站的流量。 监控 WordPress 网站出站流量的最简单方法是使用 WordPress Google Analytics 插件。 一个好的谷歌分析插件可以让你通过点击一个按钮来跟踪特定的活动。如果你发现你的网站已经被谷歌列入黑名单，请按照以下步骤删除谷歌黑名单警告。

5. 意外的文件更改

如果您网站上的文件已被更改、添加或删除，则可能表明您的网站已被入侵。 这就是为什么必须有一个通知系统来提醒您网站文件更改的原因。 您可以通过将更改的文件与最近备份中的版本进行比较来调查任何意外更改。iThemes Security Pro 文件更改扫描功能将通知您对站点所做的任何更改。

使用像 iThemes Security 这样的 WordPress 安全插件可以帮助您跟踪文件更改。 由于此设置可以生成的通知数量，您可以在文件更改检测设置中排除文件和目录。 可以排除您知道将定期更新的目录。 备份和缓存文件就是一个完美的例子，排除它们将减少您将收到的通知数量。

6. 意外的新用户

如果您的网站有任何新管理员用户的意外注册，这是您的 WordPress 网站已被黑客入侵的另一个迹象。 通过对受感染用户的利用，攻击者可以创建新的管理员用户。 凭借他们的新管理员权限，黑客已准备好对您的网站造成一些重大损害。

2018 年 11 月，我们收到了几份关于在客户网站上创建新管理员用户的报告。 黑客利用 WP GDPR 合规性插件中的漏洞（该漏洞已在 1.4.3 版中修补）在运行该插件的 WordPress 站点上创建新的管理员用户。 该插件漏洞允许未经授权的用户修改用户注册，将默认的新用户角色从订阅者更改为管理员。 不幸的是，这不是唯一的漏洞，您不能只删除攻击者创建的新用户并修补插件。

如果您安装了 WP GDPR Compliance 和 WooCommerce，您的网站可能已被注入恶意代码。 攻击者能够使用 WooCommerce 插件后台安装程序在数据库中插入后门安装程序。如果您的站点安装了后门，您应该联系黑客修复专家。 另一种选择是使用备份文件回滚到使用先前备份的违规之前的网站副本。

7. 删除管理员用户

如果您无法登录您的 WordPress 网站，即使在重置密码后，也可能是严重的感染迹象。

当 Gentoo Github 仓库被黑时，攻击者做的第一件事就是删除所有管理员用户。 那么这个黑客是如何进入他们的 Github 账户的呢？ 在另一个站点上发现了一个 Gentoo 管理员用户的密码。 我猜测用户名和密码是通过抓取或数据库转储发现的。 尽管他们 Gentoo Github 帐户的管理员密码与被盗帐户上使用的密码不同，但非常相似。 所以这就像我在一个帐户上使用 iAmAwesome2017 作为密码，在另一个站点上使用 iAmAwesome2019 作为密码。 因此，黑客能够不费吹灰之力地找出密码。正如我们所见，您应该为每个帐户使用唯一的密码。 密码的简单变化是不够的。 使用 LastPass，您可以为每个站点生成并安全存储强大的唯一密码。

您还可以启用 iThemes Security Pro 中的受信任设备功能，以限制来自不受信任设备的登录的管理功能。 如果攻击者以现有管理员用户的身份成功登录您的站点——无论是通过暴力攻击还是用户的凭据是数据库转储的一部分——他们将不具备完整的管理员功能。

即使密码被泄露，如果管理员使用双因素身份验证，也可以防止这种违规行为。 双重身份验证需要额外的代码以及您的用户名和密码凭据才能登录。 iThemes Security Pro 允许您使用移动应用程序或电子邮件启用 WordPress 双重身份以接收您的访问附加代码。

获取信息图表

为什么黑客会以 WordPress 网站为目标？

首先，重要的是要了解黑客不仅会攻击在 WordPress CMS（内容管理系统）平台上构建的网站。 事实上，可以肯定地说，互联网上的每个站点，无论是否使用 WordPress 构建，都有其自身的漏洞，并且容易遭受黑客攻击和其他恶意攻击。

这意味着目前有数亿个 WordPress 驱动的网站充斥着互联网。 WordPress 平台的大受欢迎为怀有恶意的黑客提供了一种简单的方法来定位缺乏适当安全协议的网站，然后利用它们谋取私利。

黑客在决定入侵网站时往往有各种不同的动机。 一些黑客只是在学习“交易”并瞄准最不安全和最脆弱的网站。 其他黑客以高度恶意的意图进行攻击，例如在您的网站上分发 WordPress 恶意软件或使用您的网站攻击其他毫无戒心的网站。

还有一些黑客利用他们的努力在整个 Internet 上发送垃圾信息。 我们中的大多数人都在博客评论部分或在成功黑客利用网站用户电子邮件列表后的电子邮件框中看到过此类垃圾邮件。

通过掌握敏感和私人信息，黑客可以将其出售以获取收入，甚至可以索取数据赎金，从而使人们支付费用以将信息交回安全的手中。

那么，黑客的主要动机是什么？ 为自己创造现金流。 互联网是一个利润丰厚的地方，它为各行各业提供了赚取生活工资的机会。 然而，这并不意味着每个人都以合法、道德的方式处理此事。 许多黑客甚至从最小的网站上赚取高额利润。

金钱是他们所需要的全部动力，但有些人喜欢成功入侵网站时获得的权力感，但绝大多数人从事这项业务只是为了现金。

什么是 WordPress 漏洞？

请记住，网站黑客攻击几乎都是自动化的。 因此，黑客几乎可以在短时间内轻松闯入大量网站。 黑客使用特殊工具扫描互联网，寻找已知漏洞。

黑客喜欢简单的目标，拥有一个运行具有已知漏洞的软件的网站就像向​​黑客提供分步说明以闯入您的 WordPress 网站、服务器、计算机或任何其他联网设备。

我们的每周 WordPress 漏洞报告涵盖了所有公开披露的 WordPress 核心、WordPress 插件和 WordPress 主题漏洞。 在这些综述中，我们分享了易受攻击的插件或主题的名称、受影响的版本和漏洞类型。

用于入侵 WordPress 网站的常用方法

黑客使用易受攻击的入口点来访问网站。 这些入口点包括弱托管服务器、后门，甚至是通过暴力破解攻击的 WordPress 登录页面。

• 后门 –黑客还可以为您的 WordPress 网站创建后门入口。 这意味着他们无需通过标准的 WordPress 登录页面即可创建入口点。 有多种方法可以创建后门条目以获得对 WordPress 站点的未经授权的访问。
• 蛮力攻击——这种形式的攻击利用了获取站点访问权限的最简单方法：反复尝试猜测用户名和密码，直到成功为止。 默认情况下，WordPress 网站特别容易受到蛮力攻击，因为系统允许无限制的登录尝试。
• 跨站点脚本– 跨站点脚本 (XSS) 是一种恶意软件攻击，它通过利用任何 WordPress 站点上的跨站点漏洞来执行。 事实上，这是 WordPress 网站被黑客入侵的最常见方式，因为有太多 WordPress 插件存在 XSS 漏洞。
• 远程代码执行——术语远程代码执行 (RCE) 是指几种不同的黑客技术和网络攻击，但它们都有一个主要的共同点。 RCE，有时也称为代码注入，是黑客入侵各种网站（包括运行 WordPress 作为其内容管理系统的网站）的一种越来越常见的方式。
• SQL 注入– SQL 注入 (SQLi) 是一种攻击，允许黑客利用易受攻击的 SQL 查询来运行他们自己的查询。 当攻击者能够在服务器上运行他们自己的 SQL 时，就会发生 SQL 注入。

为什么 WordPress 网站会被黑客入侵？

WordPress 网站被黑有几个常见原因。 让我们分别打包。

质量差的主机

并非所有的网络主机都是平等的，从长远来看，仅根据价格选择一个主机可能会因安全问题而使您付出更多代价。 大多数共享主机环境是安全的，但有些没有正确分离用户帐户。

就像世界上所有其他网站一样，在 WordPress 平台上运行的网站都托管在 Web 服务器上。 您可能会遇到一些托管公司，它们没有正确或完全保护他们的平台免受恶意攻击。

如果您的网站由不安全的托管公司托管，那么不仅您的网站容易受到黑客攻击，而且托管在其服务器上的所有其他网站也是如此。

选择优质的 WordPress 托管服务提供商将有助于确保您的网站安全并且不会受到您无法控制的黑客攻击。 事实上，经过适当保护的服务器将能够在您发现之前阻止许多最常见的 WordPress 黑客攻击。

为了从托管服务提供商那里获得尽可能多的黑客保护，您可能需要考虑使用提供可靠的托管 WordPress 托管计划的提供商。

为您的网站选择信誉良好且安全记录可靠的主机。 找到您可以信任的 WordPress 托管是您应该尝试缓解的第一个 WordPress 安全漏洞。

弱密码

弱密码是黑客的梦想成真。 这就是为什么安全密码是让您的 WordPress 网站免遭黑客攻击的最大关键之一。

为以下每个帐户使用非常独特和强大的密码至关重要。 其中任何一个都可能允许怀有恶意的黑客访问您的网站并损害您的声誉和品牌：

• 任何和所有 WordPress 管理员帐户
• 您的网站托管控制面板或 cPanel 帐户
• 所有 FTP 帐户
• 用于为您的网站提供支持的 WordPress 数据库
• 用于您的主机帐户或 WordPress 管理员的所有电子邮件帐户

这些关键帐户中的每一个都受密码保护，需要应用唯一且牢不可破的密码。

当您使用很容易被猜到的弱密码时，恶意黑客就可以很容易地使用非常基本的黑客工具破解您的密码，几乎每个人都可以使用互联网连接。

只需使用对这些帐户登录中的每一个都完全唯一的强密码，就可以轻松避免这一主要问题。

如果您还没有，请考虑安装一个可靠的密码管理器，它可以帮助您将所有密码保持在最新状态，而无需将它们全部写在笔记本中。 当然，如果您正在努力想出强大而独特的密码，您也可以使用内置的强密码生成器或谷歌“牢不可破的密码生成器”一词来查找各种可以帮助您的免费在线工具。

请记住，您的 WordPress 登录是最常受到攻击的 WordPress 安全漏洞，因为它提供了对您网站管理页面的最简单访问。 蛮力攻击是利用您的 WordPress 登录信息的最常见方法。

蛮力攻击是尝试正确猜测用户名和密码组合以访问 WordPress 站点的后端。 蛮力攻击可能有效，因为 WordPress 不限制某人可以进行的登录尝试次数。

您可以通过使用 WordPress 安全插件（如 iThemes Security Pro）来限制登录尝试次数，从而增强 WordPress 登录的安全性。 限制登录尝试只是 WordPress 强力保护的第一步。

注意您的 WordPress 密码安全对于保护您的 WordPress 登录也是必不可少的，这就是为什么您应该使用密码管理器来生成随机的强密码并安全地存储它们。 强制您网站上的每个 WordPress 用户使用强密码将大大降低暴力攻击的有效性。

不更新 WordPress 核心、主题和插件

当您的 WordPress 网站运行的是过时版本的插件、主题或 WordPress 时，您就有可能在您的网站上发现已知漏洞。 WordPress Hacked 的最快方法是通过过时的插件、主题或核心。 更新不仅仅是为了新功能或错误修复； 它们还可以包括针对已知漏洞的安全补丁。 尽管这是最容易预防的 WordPress 安全漏洞，但大多数成功的黑客攻击都使用过时软件中的漏洞。

许多网站所有者对 WordPress 开发世界有一种奇怪的恐惧。 出于某种原因，许多 WordPress 用户害怕将他们的网站更新到最新版本的 WordPress。 似乎担心的是，在对 WordPress 核心进行更新时，他们冒着破坏网站和丢失所有工作的风险。 在更新之前运行备份以防出现问题，但请记住，WordPress 被黑的最快方法是通过过时的插件、主题或 WordPress 核心。

现实情况是，每个新的 WordPress 版本都旨在修复错误并进一步保护您免受漏洞和黑客攻击的影响。 事实上，如果你没有让你的 WordPress 软件完全更新，你实际上让你的网站比避免更新更容易出现问题。

如果您担心运行更新会对您的网站造成损害或完全破坏它，那么运行 WordPress 备份插件很重要，如果最坏的情况发生，它可以立即恢复您的网站。

BackupBuddy 是最好、最简单的解决方案之一，可让您的 WordPress 网站始终保持完整备份。 如果出现任何问题或您的网站因任何原因中断，您可以快速恢复以前的版本并重新开始。

您可以使用 iThemes Security Pro WordPress 版本管理功能在您的站点上自动更新。 自动更新可确保您获得关键的安全补丁，以保护您的网站免受 WordPress 安全漏洞的影响，此外，它还可以减少您花费在维护 WordPress 网站上的时间。

与我们刚刚讨论的保持 WordPress 核心软件不断更新到当前版本的方式类似，您在网站上运行的主题和插件也是如此。

事实上，保持主题和插件完全更新与更新 WordPress 同等重要。 如果您使用的主题或插件与当前的 WordPress 安全修复程序已经过时，则您的整个站点更容易受到恶意黑客攻击。

每天都会在主题和插件中发现安全漏洞和缺陷。 通常，您使用的主题和插件的作者会快速发布这些修复程序并提供给您。 但是，如果您在收到更改已可用的警报时选择不更新软件，那么开发人员可以为您做的事情并不多。

始终保持所有 WordPress 插件和主题都是最新的，这一点很重要。 再说一次，如果您担心更新可能会导致内部冲突并破坏您的网站，BackupBuddy 可以为您提供全面的保障。

不使用两因素身份验证

除了使用强密码外，添加 WordPress 双重身份验证是保护站点登录的最佳方法之一。 两因素身份验证要求用户除了使用用户名和密码之外，还需要使用身份验证令牌来登录 WordPress。

即使直接从用户的电子邮件中获取正确的用户名和密码，如果用户使用移动应用程序接收其身份验证令牌，仍然可以防止恶意登录尝试。 两因素身份验证为您的 WordPress 站点添加了一个非常强大的安全层，并且可以使用 iThemes Security 之类的插件轻松添加。

事实上，谷歌最近的研究证实，使用双因素身份验证可以 100% 阻止自动机器人攻击。 我喜欢那些赔率。 iThemes Security Pro 可以轻松地向 WordPress 网站添加两因素身份验证。

从不受信任的来源安装软件

快速的谷歌搜索会发现整个网络上有数十个网站试图完全免费地分发付费或付费的 WordPress 主题和插件。 当然，很容易被诱惑在您的网站上下载并安装那些免费的“无效”主题和插件以节省一些钱。

但是从这些非常不可靠的来源下载插件和主题对您网站的健康是极其危险的。 它们不仅可能危及您网站的安全，而且很容易被黑客利用来窃取高度敏感的信息。

请记住仅从最可靠的来源下载主题和插件，例如直接从创建它们的开发人员或从官方 WordPress 存储库下载。

如果您负担不起高级产品的成本，或者根本不想购买，您可以选择数以千计的免费且可靠的主题和插件。 虽然免费版本可能没有付费版本那么强大，但它们仍然可以帮助您完成您想做的事情并保护您的网站免受攻击。

如果您花点时间查看，您甚至可以找到一些流行（和安全）付费主题和插件的折扣代码。

只安装来自可信来源的 WordPress 插件和主题。 您应该只安装从 WordPress.org、知名商业存储库或直接从信誉良好的开发人员那里获得的软件。 您将希望避免使用“无效”版本的商业插件，因为它们可能包含恶意代码。 如果您是安装恶意软件的人，那么您如何锁定 WordPress 网站并不重要。

如果 WordPress 插件或主题未在开发人员的网站上分发，您需要在下载插件之前进行尽职调查。 联系开发人员，看看他们是否与以免费或折扣价提供其产品的网站有任何关联。

此外，避免使用废弃的 WordPress 插件。 如果您的 WordPress 网站上安装的任何插件在六个月或更长时间内没有收到更新，您可能需要确保它没有被放弃。 没有任何最近更新的插件并不一定意味着它已被放弃，这可能只是意味着它的功能完整并且只会接收更新以确保与最新版本的 WordPress 和 PHP 兼容。

奖励：运行非 SSL 网站

当有人访问您的 WordPress 网站时，他们的设备和您的服务器之间的通信线路就开始了。 通信不是一条直线，在访问者和您的服务器之间传递的信息在传递到最终目的地之前会经过几次停靠。

为了更好地了解加密的工作原理，请考虑您的在线购买是如何交付的。 如果您曾经跟踪过送货状态，就会发现您的订单在到达您家之前停了几次。 如果卖家没有正确包装您购买的商品，人们很容易看到您购买的商品。

当访问者登录您的 WordPress 网站并输入付款信息时，默认情况下不会对这些信息进行加密。 因此，就像您的未打包购买一样，在访问者的计算机和您的服务器之间的每一站都可以发现登录凭据和信用卡详细信息。

幸运的是，未加密的通信是最容易缓解的 WordPress 安全漏洞之一。 将 SSL 证书添加到您的网站是加密和打包您网站上的通信的好方法，以确保只有预期的收件人才能查看正在共享的敏感信息。 您的主机可能会提供向您的 WordPress 站点添加 SSL 证书的服务，或者您可以自行添加 SSL 证书。

如果您决定走自己动手的路线，我建议您使用 certbot。 Certbot 可以非常轻松地将 Let's Encrypt 证书添加到您的站点，并将其设置为自动更新您的 SSL 证书。 您还可以查看我们的 WordPress HTTPS 培训，了解如何向您的网站添加 SSL 证书。

我被黑了——现在怎么办？

我们看到的场景是一个（或多个）主题模板文件被注入恶意代码。 然后，此类代码可以影响（并感染）其他主题文件，或者实际上是服务器上的任何其他文件。 在共享主机帐户上，这可能意味着您的站点可能会通过托管在同一服务器上的另一个站点受到感染。 现在这是一个可怕的想法。

• 检查 WordPress 安装中的所有文件，以确保站点上没有剩余的脚本继续以不同的时间间隔注入恶意代码。
• 更改所有 FTP、cPanel、所有 WordPress 密码以及您的 WordPress 盐和密钥。 如果攻击是因为攻击者获得了您的任何管理员登录凭据而您没有更改它们而发生，则没有什么可以阻止他们在以后再次自动修改文件。
• 对连接到您的服务器的所有系统进行全面扫描（通过 FTP 或其他方法）。 到处都是可以嗅探登录详细信息的病毒。 因此，即使您更改了所有密码，如果只有一个系统受到此类病毒的侵害，连接到该系统的所有服务器/站点都将继续受到攻击。
• 如果您有在黑客攻击之前制作的 WordPress 备份，您可以尝试从该备份恢复，检查文件以查看黑客攻击是否到位，然后从那里开始。
• 彻底清洁您的每一个网站。 不要只是删除一个受感染的文件修改或运行扫描仪插件。 浏览您站点上的每个目录并查找可疑文件。 您可能想与您的托管公司交谈和/或聘请顾问（例如 Sucuri）来帮助完成此过程。 如果站点上仍然存在一个被破坏的文件或秘密放置的脚本，攻击者可以利用它来自动重新破坏您的站点。

避免 WordPress 黑化蓝调的最佳方法是唱不同的曲调。

保护您的网站免受 WordPress 黑客攻击

了解如果您的网站遭到入侵会有多危险可能是您开始实施 WordPress 安全策略所需的催化剂。

1. 更新所有内容– 更新不仅仅是为了炫酷的新功能和错误修复。 插件及其更新可以包括针对已知漏洞的关键安全补丁。 确保您的网站安全和更新。
2. 使用双因素身份验证——在这篇博客文章中，新研究：基本帐户卫生在防止劫持方面的效果如何，谷歌表示，使用双因素身份验证可以阻止 100% 的自动机器人攻击。 我喜欢那些赔率。 iThemes Security Pro 可以轻松地向 WordPress 网站添加两因素身份验证。
3. 拒绝泄露的密码– 数据泄露通常是一个用户名、密码以及其他在站点遭到泄露后暴露的个人数据的列表。 拒绝让您网站的用户使用已知已泄露的密码可以大大提高您网站的安全性。 您可以使用 iThemes Security Pro 轻松拒绝泄露的密码。
4. 安装来自可信来源的软件– 您应该只安装从 WordPress.org、知名商业存储库或直接从信誉良好的开发人员那里获得的软件。 您将希望避免商业插件的“无效”版本，因为它们可能包含恶意代码。 如果您是安装恶意软件的人，那么您如何锁定 WordPress 网站并不重要。
5. 添加 WordPress 安全日志– WordPress 安全日志提供有关 WordPress 网站活动的详细数据和见解。 如果您知道要在日志中查找什么，就可以快速识别并阻止站点上的恶意行为。 了解如何将 WordPress 安全日志添加到您的网站。
6. 下载插件和主题的地方要非常小心——来自未知站点的插件和主题可能会被黑客入侵的代码所破坏。 某些插件/主题病毒旨在自动感染站点上的所有其他插件和主题。 这意味着即使您清理了导致问题的那个，其他人仍然受到感染。
7. 制定备份计划（并使其可靠） – 尽早备份您的 WordPress 站点，并经常备份。 对您的网站进行健康的完整备份是关键。 保留多个备份文件的存档。 如果灾难发生，您将需要备份来恢复您的站点（在服务器清理后）。 关于备份文件的快速提示：不时运行一些备份文件的测试恢复。 拥有无法恢复的备份可能是可能发生的最糟糕的事情（被黑客入侵后）。 BackupBuddy 是一个 WordPress 备份插件，可让您设置无人值守的计划备份，并且可以将备份文件保存到远程位置。 这应该让您高枕无忧，您将始终拥有一个健康的备份文件。

WordPress 被黑的主要原因

虽然 WordPress 漏洞很可怕，但好消息是大多数 WordPress 漏洞在坏人有机会利用它们之前就被发现和修补。 您可以通过保持 WordPress 核心和您的插件和主题更新来帮助保护您的网站免受漏洞影响，这是确保您收到最新安全补丁的最佳方式。

对于 WordPress 插件中最可靠的站点安全性，请尝试使用功能强大的 WordPress 安全插件，如 iThemes Security Pro。

iThemes Security Pro 是我们的 WordPress 安全插件，提供 30 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress 双重身份验证、暴力破解保护、强密码强制执行等功能，您可以为您的网站增加一层额外的安全保护。

立即获取 iThemes Security Pro

迈克尔·摩尔

每周，Michael 都会汇总 WordPress 漏洞报告，以帮助确保您的网站安全。 作为 iThemes 的产品经理，他帮助我们继续改进 iThemes 产品阵容。 他是一个巨大的书呆子，喜欢学习所有新旧技术。 你可以找到迈克尔和他的妻子和女儿一起出去玩，在不工作的时候阅读或听音乐。