作為一個(gè)開源程序，WordPress 的代碼暴露在所有程序員眼中，任何 Bug 或漏洞很快會(huì)被揪出來，解決掉，從各方面來說，WordPress 的安全性足夠高，即便如此，基于 WordPress 的站點(diǎn)還是免不了被黑的一天，漏洞可能出現(xiàn)在其他地方，比如：

• 服務(wù)器操作系統(tǒng)的漏洞
• 同一個(gè)服務(wù)器上其他站點(diǎn)的漏洞
• 管理員密碼，F(xiàn)TP 密碼被暴力破解
• 主題或插件的漏洞
• 登錄信息被截取

WordPress 網(wǎng)站被黑最常見的情況是被插入廣告鏈接和惡意代碼。網(wǎng)站被黑了，我們肯定很生氣，很郁悶，可這對(duì)解決問題沒有幫助。在這種情況下，我們最應(yīng)該做的是控制一下情緒，清理惡意代碼，恢復(fù)網(wǎng)站。

怎么徹底替換被感染的文件為干凈的文件恢復(fù)網(wǎng)站正常運(yùn)行

一旦網(wǎng)站被插入了惡意代碼，每一個(gè)文件或文件夾都可能被插入惡意代碼，最保險(xiǎn)的辦法就是全部替換這些文件，如果網(wǎng)站有備份，直接恢復(fù)備份是最快捷的辦法。如果沒有備份，或者備份不可用，我們就需要逐個(gè)替換文件了。按照以下步驟逐個(gè)替換文件，建議執(zhí)行下面的操作之前先把被感染的網(wǎng)站備份一下。

• 網(wǎng)站根目錄除了 `wp-config.php` 以外的其他文件，不包括文件夾
• 替換 `wp-admin` 和 `wp-includes` 文件夾，建議先徹底刪除這兩個(gè)文件夾，再上傳新的上去。
• 替換 `wp-content/plugin` 文件夾里面所有的插件為從官方下載的版本。
• 刪除 `wp-content/uploads` 和 `wp-content/languanges` 文件夾里面所有的 `.php` 文件。正常情況下，這兩個(gè)文件夾里是沒有 PHP 文件的，如果有，肯定就是惡意代碼了。
• 如果你沒有修改主題，下載原版的主題，替換被黑的主題。如果你修改過主題，最靠譜的辦法就是查看一下每個(gè)文件和文件夾，把惡意代碼清除掉。

現(xiàn)在，網(wǎng)站里面的惡意代碼已被清理完畢。

怎么防范攻擊提高WordPress的安全性

沒有絕對(duì)的安全，只有讓別人攻擊我們的網(wǎng)站時(shí)更加困難。下面是提高 WordPress 安全性的幾點(diǎn)小建議，有興趣的朋友可以逐條對(duì)照一下自己的網(wǎng)站。

• 不要使用 FTP 服務(wù)，F(xiàn)TP 密碼是明文傳輸?shù)?，很容易被嗅探到，使?SFTP，如果一定要使用 FTP，請(qǐng)為 FTP 啟用 TLS/SSL 支持。
• 不要圖省事使用弱密碼，想更安全一點(diǎn)，開啟兩步驗(yàn)證。
• 全站開啟 SSL 加密，避免登錄信息別同網(wǎng)絡(luò)中不懷好意的人截取。
• 不要下載來歷不明的主題或插件，特別不要使用網(wǎng)絡(luò)上分享的高級(jí)主題或插件，如果需要，就直接去購(gòu)買一份，花費(fèi)遠(yuǎn)比網(wǎng)站被黑后帶來的各種損失小。
• 及時(shí)更新服務(wù)器操作系統(tǒng)，WordPress 內(nèi)核，使用的主題和插件。
• 不要和容易被攻擊的站點(diǎn)放在一個(gè)服務(wù)器上。
• 打死也不要和 dede cms 放在一個(gè)服務(wù)器上。
• 經(jīng)常看看網(wǎng)站訪問日志，看是否有異常訪問。
• 使用 Fail2ban 限制暴力破解。
• 不要使用 admin 作為用戶名。
• 修改 wp-admin 和 wp-login. php 的默認(rèn)地址。

其實(shí)，上面的注意事項(xiàng)大家都知道，很多人會(huì)抱著僥幸心理不去防范，直到被黑了才追悔莫及，如果你的網(wǎng)站很重要，請(qǐng)一定要做足安全防范，預(yù)防永遠(yuǎn)比治療有效。

以上是已經(jīng)自己的經(jīng)驗(yàn)總結(jié)出來的一點(diǎn)心得，如果你覺得又遺漏的，或者錯(cuò)誤的地方，方便在評(píng)論中指出，我將隨時(shí)保持文章更新，以方便又需要的朋友查看。