尽管它是银河系中最受欢迎的 CMS，但 WordPress 并非没有缺陷，其中许多与安全性有关。 好消息是，您不必成为技术天才即可保护您的网站免受大多数威胁。

公平地说，许多通常与 WordPress 相关的安全漏洞不是核心软件的错，而是插件和主题等第三方程序的错。 以下是需要注意的五个常见 WordPress 漏洞。

1.蛮力攻击： 此方法侧重于在登录屏幕中简单地输入用户 ID 和密码的各种组合，直到找到成功的组合。 如今，黑客使用自动化软件为他们完成了肮脏的工作——可以在短时间内尝试数百万种可能性。 因此，术语蛮力。

即使黑客从未找到进入您的网站所需的精确组合，攻击的性质也会导致服务器资源的严重消耗。 虽然 WordPress 默认不限制登录尝试，但激活这样的响应应该可以快速停止正在进行的暴力攻击。

2. 保护您的 PHP 代码： 进入 WordPress 网站的下一个最受欢迎的方法可能是文件包含。 PHP 是运行网站的代码，因此您可能会说它非常重要。 您也可能会说，一个熟练的黑客发现了弱代码并设法将他自己的远程文件加载到您的网站中，这可能只是毁了您的一天。

这是软件源代码中存在的一个问题。 幸运的是，WordPress 开发人员经常发布更新，以解决发现的 PHP 问题。 尽快更新到最新版本是个好主意。

3. SQL注入： 要了解 SQL 注入的潜在损害，您应该知道您的 WordPress 安装使用 MySQL 数据库运行。 如果黑客可以通过多种方法中的任何一种进入该数据库，则他或她刚刚访问了您的数据。 这种 SQL 注入可用于添加包含垃圾邮件网站链接的新数据。

这是你在网上看到的很多东西，一旦你把有问题的数据刮掉，它就会再次出现。 令人沮丧？ 是的！ 可预防？ 是的！ 始终清理流回填写网站字段的人的数据。

4. 跨站脚本： 插件是此类与 WordPress 相关的安全漏洞的罪魁祸首。 由于大多数插件本质上都是第三方的，因此我们不能将这个弱点完全归咎于 WordPress 开发人员。 跨站点脚本通过将恶意代码注入受害者访问的网站来工作。

一个简单的来源是通过评论部分。 受害者的浏览器会接收到错误代码，然后开始比赛。 此时，黑客在后台工作，通过在浏览器中使用 cookie 来冒充用户，使几乎所有东西都处于危险之中，包括银行账户。

5. 恶意软件： 虽然网上有数千个恶意软件示例是常见的 WordPress 漏洞，但到目前为止，您在 WordPress 中看到的最常见的有四个：后门、制药黑客、恶意重定向和路过式下载。 如果您怀疑感染了恶意软件，请查看最近更改的文件。

这种问题通常很容易解决。 首先尝试删除坏文件。 如果这不起作用，请重新安装 WordPress 或将其回滚到感染发生之前的先前版本。

最佳 WordPress 安全实践

避免与您的 WordPress 网站遭到侵犯相关的头痛的一种方法是发誓不上网，只要您还活着，就永远不再上网。 另一种不太激烈的方法是实现以下内容：

强密码： 使您的所有密码长（超过 6 个字符）、唯一，并每六个月更改一次。

安全插件： 一个好的安全插件可以让您的网站快速了解基本的推荐设置。

两因素身份验证： 尽管它为登录过程增加了另一个步骤，但双因素身份验证实际上通过要求从另一个设备（如您的智能手机）提供的时间敏感代码以及用户 ID 和密码来阻止暴力攻击。

更新、更新和更新： 养成每次登录时检查 WordPress 仪表板以获取与核心 WordPress 安装、插件或主题相关的可用更新的习惯。 这种做法可确保您始终拥有最新的、错误和无漏洞的代码。

扫描恶意软件： 恶意软件是偷偷摸摸的。 有时你不会马上注意到它。 一个好的安全插件将提供执行定期扫描的能力。 好好利用它。

选择一个好的主机： 这是常见的 WordPress 漏洞之一。 尽管尽可能少花钱的诱惑几乎是不可抗拒的，但低价网站的首要位置之一是通过安全性降低成本。 创建预算以确保质量托管，具有良好的安全支持和易于安装的 WordPress。 如果您还没有了解虚拟专用网络 (VPN) 固有的安全和隐私优势，那么这可能值得您花时间。

备份 - 始终： 有时，尽管您的意图是最好的，但一个坚定的黑客会破坏您的网站。 这时您会感谢自己有远见，能够进行定期备份并将它们存储在异地并具有恢复能力。

底线
不要害怕使用 WordPress 作为博客、网站或电子商务商店背后的 CMS。 每天都有数百万人这样做，并对他们的选择感到满意。 是的，与其他所有在线实体一样，WordPress 也存在安全问题。

诀窍是让自己了解它们是什么，采取措施防止入侵，并在出现问题时迅速做出反应。 祝你好运！