如果您的网站曾经遭到机器人，黑客或其他流氓分子的攻击，那么您就会知道，重新设置网站可能会成为一场噩梦。随着WordPress的普及，随着收益的增加，它已越来越成为黑客的目标。虽然没有万无一失的安全性，但是我们可以做很多大大小小的事情来避免一些常见的WordPress安全性错误，并使机器人更难以进入我们的网站并造成破坏。

在本文中，让我们检查WordPress网站上常见的安全性错误。我们还将找出我们可以采取的措施，将对安全威胁的脆弱性降至最低。

错误1：不更新WordPress

WordPress有一个强大的社区，可以提醒安全问题，并且WordPress团队定期发布更新以修复安全威胁。但是，我们有责任在WordPress安装上执行这些更新并修补任何安全漏洞。WordPress核心的主要更新是自动进行的，但是对于次要更新以及主题和插件的更新，您需要注意仪表板上显示的通知。

更新WordPress通常是一个平稳的过程，只需单击一下，但有时可能会出现不兼容问题，从而破坏您的网站。在本《更新WordPress快速指南》中，还有更多有关更新WordPress的信息。

错误2：不购买优质主题和插件

主题和插件编码不正确会危害您的网站。它们不仅会降低您的网站速度，而且可能与您使用的WordPress版本或彼此不兼容。此外，它们还可以充当恶意软件的切入点。

这里采用的明显预防措施是仅从优质来源购买主题和插件。WordPress中有许多免费的好主题和插件。如果您选择高级主题或插件，请查找Themeforest或CodeCanyon以及其他知名的主题房屋，例如WPExplorer。

选择评分较高且下载次数较多的内容。阅读有关主题和插件的评论，并查看其他长期，真实的用户对它们的评价。浏览变更日志以查看是否有定期更新。在购买之前，请写信给作者，以了解该主题或插件是否适合您。为了解决任何实际问题，可以在测试站点上运行它。

错误三：不更新主题和插件

就像WordPress一样，您的主题和插件应定期更新错误修复和安全补丁。测试这些更新，然后安装它们以确保WordPress网站安全是您的工作。

注意：人们让主题过期的最常见原因之一是自定义代码。这就是为什么使用子主题很重要的原因。如果计划对主题文件进行任何更改，请记住使用子主题，以便将来可以安全地更新核心主题。

错误四：登录页面缺乏安全性

登录页面是授权用户进入网站的地方。但是，许多不需要的流氓用户也可以从登录页面巧妙地进入我们的网站，甚至可以获得管理员级别的特权。为防止这种情况，我们需要增强登录页面上的安全性。确实，做到这一点并不难，而且您可以进行许多简单的调整以立即停止恶作剧。

您可以从常用的“管理员”更改用户名并强制使用强密码。或者，限制登录尝试的次数–这对于阻止暴力攻击特别有效。另一种易于采用的保护方法是两因素身份验证。随着Google推动使用SSL，您可能希望保持领先地位，并尽快将其应用于您的网站。因此，您会看到，登录页面是开始提高网站安全性的好地方。

错误5：用户角色使用不当

WordPress具有许多用户角色-管理员，编辑者，作者，贡献者和订阅者。并非所有人都需要在您的网站上拥有相同的特权。当您将用户添加到您的网站时，请注意在后端授予他们的特权。只允许他们在网站上履行其职责所需的尽可能多的特权。

向所有用户授予不受限制的访问权限可以使黑客更容易侵入。

当他们只需要阅读内容时，实际上就不需要授予订阅者对后端的任何访问权。编辑者级别的访问权限仅应授予受信任的用户，而管理员级别的访问权限则可以非常少地授予（如果有的话）。授予用户有限的特权并强迫他们使用强密码可以在很大程度上控制对后端的访问。

错误6：不删除未使用的主题和插件

随着时间的流逝，我们会在需要时不断向WordPress添加插件和主题。但是，一旦我们对它们不再有任何用处，我们便会忘记将其从我们的网站中删除。仅停用主题和插件是不够的，您必须删除不打算使用的主题和插件。这个简单的步骤可以减少您受到恶意软件的攻击。不活动的插件不会占用RAM，带宽或PHP，但会占用服务器空间。这不仅会使您的网站变慢，还可以用来在您的网站上运行恶意代码。

在将插件添加到网站之前，请检查WordPress是否可以本地处理特定功能。或者您使用的主题或主持人可能涵盖了您需要的功能。因此，如果您的网站上有用于实现这些功能的插件，则可能需要删除它们。

既然您要清理未使用的插件，则不妨全力以赴，清理媒体库，uploads文件夹和includes文件夹。这些是恶意软件的替代入口点，这些恶意软件进入您的网站只是为了稍后执行。通过精简这些文件夹，可以减少恶意软件和黑客的访问点。

错误7：不选择安全主机

通常，黑客并非针对您的网站，而是针对与您共享服务器空间的其他网站。你只是一个偶然的受害者。在共享主机方案中，一个受感染的网站可能会关闭服务器上的所有网站。因此，选择您的Web主机时要格外小心，这一点很重要。正如我们在博客页面中反复提到的那样，在托管方面，您只会得到所要支付的费用。廉价的托管选项几乎总是会损害安全性，其服务器更容易受到安全攻击。不仅如此，当您的网站受到攻击时，您经常会发现支持不够令人满意。

为优质的托管服务投入大量资金确实值得投资。这将使您免去繁琐的工作负担，尤其是当您的业务与您的网站紧密链接时。在选择主机方面需要帮助吗？请访问我们推荐的托管选项列表。

错误8：不检查恶意软件

恶意软件可以在您不知情的情况下进入您的网站。它可以保持隐藏状态，并在您不知情的情况下做很多事情，例如跟踪访客，访问敏感信息（如信用卡详细信息）或向其他网站添加反向链接。当您的网站中潜伏着恶意软件时，Google开始关闭搜索引擎，以防止其他网站被感染。这可能会导致您网站的访问量下降。

有许多可用的插件和服务，可以扫描您的网站上的恶意软件并删除其中的许多恶意软件。您只需访问诸如Sucuri SiteCheck扫描仪之类的服务网站，然后输入您网站的URL。将生成一个报告，其中显示检测到的恶意软件以及有关如何处理它的建议。否则，您可以选择添加插件并运行扫描。如果愿意，可以在使用后删除该插件，并在再次运行扫描时重新安装。

错误9：未安装安全性插件

增强网站安全性的最简单方法之一就是添加安全性插件。这些插件可以处理许多安全问题，例如强制使用强密码，设置防火墙，防止暴力攻击等。有许多免费的插件，例如iThemes Security  和许多高级安全插件，您最好尽早安装并激活一个插件。还有许多网站安全服务，例如Sucuri，可用来管理WordPress网站上的安全性。

错误10：不保留网站备份

您可能以为现在已经完成了上述所有操作，因此您的网站可以免受恶意攻击。令人失望的是，很抱歉，但是黑客正在改进其方法，并且不断出现新的威胁。因此，作为安全网，您可以使用插件进行备份，并定期对网站进行安全备份，并将其保存在安全的位置。

仅对数据库进行备份是不够的，对网站进行完整备份是必要的。其中包括主题，插件，wp-content文件夹以及重要的WordPress配置文件，如wp-config.php和.htaccess文件。使用优质的插件，如BackupBuddy  或VaultPress，并定期进行更新。另外，维护多个备份副本，您可以在不同的异地和脱机位置上使用它们。

简而言之

网站安全并不总是与高墙围墙有关，也不是一次性解决。更重要的是要保持领先于恶作剧的制造者。您可以采取许多简单的步骤来确保网站的安全。重要的是要检查防御措施，以确保它们符合您网站的需求，并发展可确保其安全的安全实践。

---

---

需要提供WordPress主题/插件的汉化服务可以随时联系我们！另外成品WordPress网站以及半成品WordPress网站建设，海外Google SEO优化托管服务，百度SEO优化托管服务，Centos/Debian服务器WP专用环境搭建，WP缓存服务器搭建，我们都是你的首选，拥有多年WP开源程序服务经验，我们一直在坚持客户体验，没有最好，只有更好！