WordPress 的確是一個(gè)很出色的平臺(tái)，有著豐富的第三方插件和主題，也給博客主和廣大讀者提供了很棒的體驗(yàn)。但是，如果你不重視網(wǎng)站安全的話(huà)，你的博客很快就會(huì)成為黑 客眼中甜美的蛋糕了。在本文中，我們將會(huì)討論到一下 WordPress 的安全隱患和一些應(yīng)對(duì)方法。
      問(wèn)題出在哪了？
      對(duì)于一個(gè)像 WordPress 一樣復(fù)雜的 CMS，用戶(hù)的程序是在不同的服務(wù)器上運(yùn)行的，第三方插件，第三方主題也可能會(huì)存在一些缺陷。當(dāng)破壞者通過(guò)某些缺陷進(jìn)入了你的網(wǎng)站的話(huà)，你就有麻煩了。
      如果你運(yùn)行的是一個(gè)易受攻擊的 WordPress，黑客可以進(jìn)行以下幾種破壞：
      1、在你的網(wǎng)站上執(zhí)行任意代碼。
      2、注入腳本，HTML代碼或者是直接編輯你的帖子。
      3、導(dǎo)致無(wú)法訪問(wèn)（使網(wǎng)站崩潰，CPU 和帶寬過(guò)載）。
      4、注入或者執(zhí)行 SQL 命令。
      5、獲取重要數(shù)據(jù)，例如你的密碼。
      6、把用戶(hù)帶到另外的網(wǎng)站，可能還是釣魚(yú)網(wǎng)站。
      7、跨站偽造記錄(CSRF）。
      8、在你的網(wǎng)站上創(chuàng)建一個(gè)隱藏的帖子，這個(gè)帖子只對(duì)搜索引擎可見(jiàn)，而且是導(dǎo)向到黑客的站點(diǎn)的。
      9、植入后門(mén)。這樣就算你修復(fù)了那些缺陷黑客還是可以進(jìn)入你的網(wǎng)站。
      10、在你的 PHP 核心代碼和主題文件里面植入一段加密代碼。
      被黑的主要原因
      一個(gè)很重要的原因就是你用的是過(guò)時(shí)的東西，比如 WordPress 核心程序，插件，主題。這就是為什么現(xiàn)在有那么多的相關(guān)服務(wù)來(lái)把升級(jí)變得更簡(jiǎn)單。其中 WP remote 和 InfitniteWP 是兩個(gè)免費(fèi)又好用的服務(wù)。
      還有一些其他常見(jiàn)的原因：
      1、在下載了沒(méi)有來(lái)源的主題，通常這些主題都是有后門(mén)的。
      2、從一個(gè)感染了病毒的電腦進(jìn)入你的 WordPress 網(wǎng)站。
      3、管理員帳號(hào)的密碼過(guò)于簡(jiǎn)單。
      在哪里獲得潮流的漏洞信息
      在 WordPress 3.X，已知的漏洞已經(jīng)有30個(gè)，如果你的 WordPress 還是更舊的版本，漏洞就會(huì)更加多。這里有一個(gè) Secunia 提供的所有已知 WordPress 漏洞的列表，或者你可以直接去關(guān)注一下 WordPress 的開(kāi)發(fā)進(jìn)展，訂閱開(kāi)發(fā)團(tuán)隊(duì)的博客 WordPress development blog。
      給你的博客上把鎖
      1、定時(shí)備份博客。這樣就能確保你在任何時(shí)候都可以重建網(wǎng)站。
      2、確保你的 WordPress 核心系統(tǒng)是潮流的。
      3、確保插件和主題是潮流的。
      4、不要使用未知來(lái)源的主題，通常都是有后門(mén)的，特別是那些放到免費(fèi)網(wǎng)盤(pán)里面的破解主題。
      5、用一個(gè)沒(méi)有其他站點(diǎn)使用過(guò)的高強(qiáng)度密碼。
      6、確保你用來(lái)登錄 WordPress 站點(diǎn)的電腦是沒(méi)有病毒的。
      7、監(jiān)控服務(wù)器和用戶(hù)數(shù)據(jù)，調(diào)查可疑的行為。
      8、使用空白的 index.html 文件來(lái)禁止其他用戶(hù)訪問(wèn)主題和插件目錄。
      9、在你的 meta 描述里面把你的 WordPress 版本好去掉。
      10、通過(guò) htaccess 文件來(lái)保護(hù) WordPress 的 wp-admin 文件夾。
      還有一些很好用的插件，我個(gè)人推薦以下幾個(gè)：
      Wordfence 提供免費(fèi)的防火墻，病毒掃描，和流量監(jiān)控。
      Bulletproof 針對(duì) XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防護(hù)。
      Better WordPress security 提供傻瓜式的操作。
      Lockerpress 自定義登錄 URL，更換管理員，還有一些自定義過(guò)濾的選項(xiàng)。
WordPress 的博客眾多，一直被黑帽們牢牢盯住，即便開(kāi)了Antispam插件，很多博友可能還是每天收到成千上萬(wàn)的垃圾評(píng)論，spam成了站長(zhǎng)們必須面對(duì)的問(wèn)題。以上給的一些工具和方法，希望可以在大家選擇工具時(shí)提供一點(diǎn)幫助。      我的解讀SEO博客用了Akismet，評(píng)論審核和黑名單，以及小墻，小墻將機(jī)器人評(píng)論屏蔽掉后，WordPress 評(píng)論審核和黑名單功能過(guò)濾掉那些我認(rèn)為有問(wèn)題的內(nèi)容，Z后 Antispam幫我解決掉部分人肉的不存在含特殊關(guān)鍵字的評(píng)論。以前我只用 Antispam，每天spam 數(shù)量都是4位數(shù)的，現(xiàn)在小墻部分直接刪除，一個(gè)月的spam 也就十幾條，需要我手動(dòng)去設(shè)為spam的評(píng)論也就幾條。