网站的安全性在任何时候都是很重要的,特别是在网站经营若干年之后,有了更多的数据,更要保证网站的安全性,使用 WordPress 搭建的网站更是如此,特别是现在 WordPress 用户越来越多,使用越来越广泛,所以,被研究,被攻击,也是必然的。

本篇文章里提到的都是在 WordPress 安装之后的操作。

1,经常备份;

备份的意思,是文件和数据库都要备份,而且也包含附件。备份可以根据各自的特点来操作,比如 WordPress 的程序,如果不是每天都在修改
WordPress 的话,只要在每一次修改 WordPress 程序之后备份一次即可;附件,比如压缩包和图片,如果是存储在主机当中,那建议每周备份一
次,毕竟每次备份到其他空间或者本地,是要消耗流量的;如果本身已经存储在第三方的网盘上,那就无需单独备份了;数据库,也每周备份一次即可。

这里推荐一款很好用的 WordPress 备份插件:BackWPup

WordPress 备份的三个原则:

a, 备份文件不能保存在相同的空间中;

b, 必须是自动备份的;

c, 设置备份文件的次数,比如保留最新的 5 次备份等;

2,保持 WordPress 程序在最新版

WordPress 是一款开源的程序,因此有很多爱好者都很喜欢,而且发现问题都会及时的提交到 WordPress 官方,之前几次的更新,都是提交之后,WordPress 官方及时更新处理,所以,保持 WordPress 一直在最新版,可以有效的避免安全问题;

3,使用复杂的密码并且经常更新

密码有两个,一个是 WordPress 的登陆密码;另外一个是主机的密码;不要只使用数字和字母,空格,~!@#这种也可以用,当然要记得,而且不定期更新,保证密码的安全性,但要自己记得。

4,经常检查 WordPress 程序

这里需要说一下 WordPress 的权限,在 linux 主机,运行在 cgi 模式下的 WordPress 程序,文件夹的权限是:755;文件的权限
是:644;.htaccess 的权限也是 644(有些文件,比如 sitemap 的 xml 可能需要 777 的权限,就 WordPress 本身的权限,按照上
面说的即可) 。

通过主机控制面板,是可以看到权限的,如果有文件权限不对,建议先修改成正确的,然后打开文件,查看是否有恶意代码;常被入侵的文件有三个:根目录的 wp-config.php;index.php 和当前主题中的 functions.php 。

现在国内也有很多检测安全的网站,但还是建议使用国外的吧,比如:http://www.sucuri.net,当然 cPanel 主机 (http://idc.wopus.org/foreign/cp/) 控制面板目前已经内置了病毒扫描工具。

5,设置 WordPress 的 security keys

安装 WordPress 之后,在 wp-config.php 文件中,有 security keys,可以在 https://api.WordPress.org/secret-key/1.1/salt/ 中生成,都是随即的,直接复制到 wp-config.php,保存即可。

6,选择性的使用 WordPress 插件和主题

其实很简单,插件和主题,尽量使用 WordPress 官方的。

我们遇到过极端的情况,一个 WordPress 爱好者制作了几款主题,都免费分享了,但他的主机被入侵了,所有的主题,都被插入了恶意代码,于是,
使用之后,就悲剧了;当然这种情况也出现在 WordPress 官方,也被入侵过,但 WordPress 很好的处理,并且加强了预防。

插件更是如此了,使用之前,先衡量一下,是否真的需要。

WordPress 的用户,都喜欢折腾,主要就是折腾主题和插件,但有选择性的,可以很好的保证 WordPress 安全性。其实,通过主题和插件威胁 WordPress,是当前一种主流的方式。

如果您有其他的建议或者好的经验,请留言,我们会不断更新,希望大家都有安全的 WordPress 网站。