WordPress 现在是最流行的网站管理软件,目前为全球超过 7000 万个网站提供支持。本质上,随着新更新和补丁的发布,软件需要维护。 WordPress 从 2004 年开始就可以免费使用它来创建网站,并且它的版本从 1.x 到最新版本(3.3.2)一直在线。
从第一个版本的 WordPress 到最新版本,已经有数百个更新可用 - 其中一些修补了非常大的安全漏洞。在过去几年中,术语“恶意软件”已与因这些安全漏洞之一而受到损害(黑客攻击)的 WordPress 网站一起使用。虽然恶意软件通常是一个术语,用于描述在 PC 上带有有效负载的病毒,但该术语现在通常用于描述已感染 SEO 垃圾邮件或恶意脚本或代码的 (WordPress) 网站。
针对 WordPress 中的恶意软件的最佳预防措施是使其保持最新状态。随着新版本的发布,请尽快进行升级。另外,请确保您安装的主题和插件也是最新的。
防止恶意软件的提示
虽然更新 WordPress 是很好的预防药物,但您还可以采取许多其他措施来进一步保护您的网站:
删除旧插件:确保删除所有不使用的插件(停用)。即使未使用的插件也可能存在安全风险。此外,请确保只保留在过去 12 到 18 个月内更新过的已安装插件。如果您使用的插件早于此插件,它们可能与最新版本的 WordPress(或您的主题)不兼容——并且它们也可能存在安全漏洞。
检查您的主题:您的 WordPress 主题有多旧?如果您是从开发人员处购买的,请检查是否有最新更新可供安装。如果您有自定义主题(甚至是您自己编写的主题),请确保每年由合格的开发人员或安全专家对其进行审核,以确保它没有安全漏洞。
安全和强化:您应该安装和配置一个或多个流行的 WordPress 插件来保护和强化您的网站(在“开箱即用”设置之外)。尽管 WordPress 是一个非常成熟和安全的平台,但您可以通过更改管理员用户名、默认 WordPress 表名以及针对 404 攻击和长期恶意 URL 尝试的安全性轻松添加一些额外的基本安全性。
删除恶意软件的提示
如果您认为您的 WordPress 网站遭到黑客攻击或注入了恶意软件、恶意脚本、垃圾邮件链接或代码,您应该首先获取您网站的备份副本(如果您还没有)。在您的虚拟主机帐户中获取下载到本地计算机的所有文件的副本,以及数据库的副本。
接下来,安装官方 WordPress 免费插件存储库中提供的众多免费恶意软件扫描插件之一。激活它,看看是否可以找到感染源。如果您是技术人员,您可以自己删除代码或脚本。确保检查所有主题文件,您可能还需要重新安装 WordPress。
如果您的 WordPress 核心文件被感染,消除感染源的最佳方法之一是删除整个 wp-admin 和 wp-includes 文件夹(和内容)以及根目录中的所有文件您网站的目录。在 wp-content 文件夹中,删除 theme 文件夹和 plugin 文件夹(保留上传的文件,其中包含您上传的附件和图像)。由于您拥有网站的本地副本,因此您可以重新安装主题并了解安装了哪些插件。
此时最好的办法是下载一个新的 WordPress 副本并安装它。使用 wp-config.php 文件的本地副本连接到现有数据库。这样做之后,在重新安装主题和插件之前,您可能需要登录 wp-admin 仪表板一次,然后转到工具 -> 导出并导出所有内容、评论、标签、类别的完整副本。和作者。现在(如果需要)此时,您可以删除整个数据库,创建一个新数据库,然后导入所有内容,这样您就拥有了 WordPress 和新数据库的全新副本。然后,最后,从官方 WordPress 存储库重新安装主题和所有插件的新副本(不要使用您下载的本地副本)。
如果这些步骤对您来说过于技术化,或者无法消除感染源,您可能需要寻求 WordPress 安全专家的帮助。
预防性维护转发
如果您的网站对您很重要,或者您将其用于业务,请像对待您的实际网站一样对待它 保护它很重要和生意一样多。如果您的网站明天出现故障或不可用,会发生什么情况?这会损害您的业务吗?一点预防药可以帮助您:
备份和灾难恢复计划:确保您拥有有效且经过测试的备份解决方案(大多数企业称之为灾难恢复计划)。有许多免费和付费的插件和解决方案可用于 WordPress 网站。
安装基本安全:如果您没有安装 WordPress 安全插件,请立即从官方免费插件存储库获取评价高且最近更新的插件来保护您的网站。如果您不愿意自己做这件事或者没有网站技术人员,请聘请 WordPress 顾问或安全专家为您做这件事。
