Wordpress教程

许多人听到黑客这个词，就会想到有人穿着连帽衫坐在黑暗的地下室里，在命令行中输入代码，通过突破防火墙来瞄准网站，并像躲避安全机器人一样躲避安全机器人，直到网站被破碎并从互联网上删除。但事实并非如此。事实上，黑客通常是恶意软件，它被发现某种漏洞的机器人狡猾地插入到您网站的服务器中。除此之外，如果您的网站被黑客入侵，您很可能甚至都不知道。但我们在这里帮助确保您知道如何使用WordPress恶意软件扫描来清理它。 如何植入隐藏恶意软件？ 黑客可以通过多种方式访问​​您的网站。最常见的一种被称为蛮力攻击，僵尸网络会尝试各种用户名/密码组合，直到成功并让它们进入。一旦他们可以访问您的站点，他们就可以为所欲为并安装任何恶意代码。 它可能是从您下载到本地计算机的文件中安装的，该文件中包含的恶意软件已进入您的服务器。您甚至可能（当然是无意中）点击了一个网络钓鱼链接或被一个受感染的网站重定向到一个看似合法的网站。 甚至还有整个机器人网络在互联网上搜索具有特定漏洞的WordPress网站。像过旧版本插件、具有特定未修补漏洞的主题、运行旧版本PHP的服务器等。 在您的网站上隐藏恶意软件可能意味着您采取了导致其安装的操作，但并非总是如此。这些事情在某个时候会发生在我们所有人身上，我们希望您在发生这种情况时不要太自责。因为虽然这绝对不是一件好事，但如果您遵循正确的步骤，它是可以解决的。我们现在将带您完成。 1. 选择反恶意软件保护插件 无论您是否认为自己的网站上隐藏着恶意软件，第一步都是选择反恶意软件。对于WordPress用户，两个首选是WordFence和Sucuri。这两种方法都经过试验、测试和信任，可以保护WordPress网站。除了更高级的高级版本之外，它们都提供数万用户信任的一流免费版本。 你也不会出错。但是对于本文，我们将使用WordFence作为示例。 此外，您可以选择一些外部URL检查器，例如VirusTotal。 这些类型的服务通过各种数据库运行您的 URL 和公共文件。这些索引 URL 并指示它们是否已被标记为已泄露或可疑。如果您没有恢复干净，WordFence 或 Sucuri 可以通过以下步骤帮助您修复它。 2. 如何扫描网站是否有恶意软件 无论外部网站怎么说，您都希望使用WordPress插件运行恶意软件扫描，以便它可以深入您的文件系统。就像我们之前说的，我们将在这个例子中使用WordFence。您可以从WordPress.org插件库下载并安装它。 您看到的标准WordFence仪表盘非常有用，它显示在WP管理面板的WordFence – Dashboard下。您可以查看截至该时间点的保护摘要、扫描次数、最近一次扫描中的问题数量等。 当您进入WordFence – Scan时，您会看到大量数据。但是一旦你知道你在看什么，它就很容易消化。 当您按下Start New Scan (2)按钮时，WordFence会按照各种条件的进度条 (3)工作。（我们说进度条是因为它按此顺序检查。）扫描后，您会在Results Found (4) 选项卡中看到详细的结果日志，以及您可以在右侧(5)采取的操作。 3. 如何处理恶意软件扫描结果 一旦您看到您的结果，就该解析它们并对其采取行动了。但即使在此之前，你也必须知道它在说什么。 如果您看到带有红点的标记为High Priority (6) 的消息 ，则需要尽快查看。特别是如果您看到它说WordPress core中有一个 未知文件。这是个坏消息。幸运的是，WordFence允许您通过单击按钮Delete All Deletable Files(5)删除所有可删除文件 。 但是，您应该始终在执行此操作之前备份您的WordPress网站，以确保您没有删除任何必要的内容。WordFence甚至会提醒您这样做。 完成后，您可以按Delete Files让WordFence处理它们。此时，您的站点应该没有隐藏的恶意软件。如果您想更深入地检查，请使用Sucuri进行扫描，看看它是否能找到WordFence遗漏的任何内容。此外，您可以订阅两者的高级版本以获得更深入的扫描。 受恶意软件感染的文件消失了。因此，您只需处理不太紧迫且最有可能与非恶意软件相关的问题。（尽管它们以自己的方式同样重要）。 在这种情况下，WordPress版本已过时 (9)。WordFence对此发出警告，因为过时的WP版本可能包含尚未修补的严重安全问题。如果您已经过时，那么您就是恶意软件的老大。此外，WordFence会告诉您插件和主题版本已过时(10)。出于完全相同的原因。 请注意，WP核心更新标记为高优先级。插件更新为中等。这是因为就WordPress网站黑客而言，他们背后的人更有可能针对每个人使用的软件的核心。相比之下，没有一个插件或主题只有少数人使用。不过，它确实发生了，所以值得关注。 4. 找到隐藏的恶意软件后怎么办 在您的网站上发现恶意软件很痛苦。这对您以及您的客户和客户来说都是可怕的。在您清理网站并清除恶意软件并赶走黑客后，您可以按照几个简单的步骤来加强防御。 更改所有密码。您可能不知道恶意软件是如何到达那里的。但是您的管理员和用户密码有可能以某种方式被泄露。所以你需要全部改变它们。使用这个插件来做它，它会在他们注册的电子邮件中通知每个人。 启用双因素身份验证 […]

谈到WordPress安全性，您可以采取很多措施来锁定您的网站，以防止黑客和漏洞影响您的电子商务网站或博客。您最不想发生的事情是一天早上醒来发现您的网站一团糟。因此，今天我们将分享许多技巧、策略和技术，您可以使用这些技巧、策略和技术来提高WordPress安全性并保持受保护。 WordPress安全吗？ 您可能想知道的第一个问题是WordPress安全吗？多半是对的。然而，WordPress通常会因为容易出现安全漏洞并且本质上不是用于企业的安全平台而受到批评。这通常是由于用户一直遵循经过行业验证的安全最差做法。 使用过时的WordPress软件、无效的插件、糟糕的系统管理、凭据管理以及非技术人员WordPress用户缺乏必要的Web和安全知识，使黑客能够控制他们的网络犯罪游戏。即使是行业领导者也不总是使用最佳实践。路透社被黑是因为他们使用的是过时的WordPress版本。 从根本上说，安全并不是完全安全的系统。这样的事情很可能是不切实际的，或者不可能找到和/或维护。然而，安全是降低风险，而不是消除风险。这是关于在合理范围内使用所有可用的适当控件，使您可以改善整体姿势，从而降低使自己成为目标并随后被黑客入侵的可能性。– WordPress安全法典 现在，这并不是说漏洞不存在。根据多平台安全公司Sucuri 2017年第三季度的一项研究， WordPress继续领先于他们工作的受感染网站（83%）。 这一比例高于2016年的74%。 WordPress安全漏洞 WordPress为Internet上超过43.0%的网站提供支持，并且拥有数十万个主题和插件组合，因此存在漏洞并不断被发现也就不足为奇了。但是，围绕WordPress平台也有一个很棒的社区，以确保这些东西尽快得到修补。截至2022年，WordPress安全团队由大约50名（高于2017年的25名）专家组成，其中包括首席开发人员和安全研究人员——大约一半是Automattic的员工，还有一些人在网络安全领域工作。 WordPress漏洞 在下面查看一些不同类型的WordPress安全漏洞。 Backdoors（后门） Pharma Hacks Brute-force Login Attempts（暴力登录尝试） Malicious Redirects（恶意重定向） Cross-site Scripting (XSS，跨站脚本) Denial of Service Backdoors（后门） 这个名副其实的后门漏洞为黑客提供了绕过安全加密的隐藏通道，以通过异常方法（ wp-Admin、SFTP 、FTP等）访问WordPress网站。一旦被利用，后门使黑客能够通过跨站点污染对托管服务器造成严重破坏攻击——危害托管在同一服务器上的多个站点。在2017年第三季度， Sucuri报告说，后门仍然是攻击者采取的众多黑客攻击后行动之一，71%的受感染网站具有某种形式的后门注入。 恶意软件家族分布 后门通常被加密以看起来像合法的WordPress系统文件，并通过利用平台过时版本中的弱点和错误进入WordPress数据库。TimThumb惨败是利用黑幕脚本和过时软件危害数百万网站的后门漏洞的典型例子。 幸运的是，这个漏洞的预防和治疗相当简单。您可以使用SiteCheck等工具扫描您的WordPress网站，  该工具可以轻松检测常见的后门程序。双重身份验证、阻止IP、限制管理员访问和防止未经授权执行PHP文件很容易解决常见的后门威胁，我们将在下面详细介绍。Canton Becker 也有一篇关于清理WordPress安装上的后门混乱的好文章。 Pharma Hack Pharma Hack漏洞用于在过时版本的WordPress网站和插件中插入恶意代码，导致搜索引擎在搜索受感染网站时返回药品广告。与传统的恶意软件相比，该漏洞更像是垃圾邮件威胁，但让搜索引擎有足够的理由阻止该网站以散布垃圾邮件的指控。 Pharma Hack的移动部分包括插件和数据库中的后门，可以按照Sucuri博客中的说明进行清理。然而，这些漏洞利用通常是隐藏在数据库中的加密恶意注入的恶意变种，需要彻底的清理过程来修复漏洞。不过，您可以使用推荐的WordPress托管服务提供商和最新的服务器并定期更新您的WordPress安装、主题和插件，从而轻松防止Pharma Hacks。 Brute-force Login Attempts（暴力登录尝试） 蛮力登录尝试使用自动化脚本来利用弱密码并获得对您网站的访问权限。两步验证、限制登录尝试、监控未经授权的登录、阻止IP和使用强密码是防止暴力攻击的一些最简单和高效的方法。但不幸的是，许多WordPress网站所有者未能执行这些安全措施，而黑客很容易在一天内使用暴力攻击破坏多达30,000个网站。 Malicious Redirects（恶意重定向） 恶意重定向使用FTP、SFTP、wp-admin和其他协议在WordPress安装中创建后门，并将重定向代码注入网站。重定向通常以编码形式放置在您的 .htaccess文件和其他WordPress核心文件中，将网络流量引导至恶意站点。我们将在下面的WordPress安全步骤中介绍一些可以防止这些问题的方法。 跨站脚本 (XSS) 跨站点脚本 […]

当您的WordPress网站很小时，很容易密切关注其中发生的一切。然而，随着它的规模和复杂性的增长，它可能变得越来越难以跟上。如果您允许用户在您的站点上注册、运行会员站点或有多个贡献者，则尤其如此。 无论如何，始终了解您网站上发生的事情至关重要。您可以通过跟踪用户活动来做到这一点，例如内容更改、个人资料更新、登录失败等。当您触手可及此类信息时，您可以快速追踪任何问题的根源并保持严密的安全性。 在这篇文章中，我们将简要讨论您为什么要跟踪您的WordPress网站的活动。然后，我们将帮助您找出最需要关注的活动类型。 为什么使用WordPress活动日志至关重要 活动日志可以帮助您密切关注网站的重要更改。 如果你的网站只有一个用户——你——应该不会有什么意外。除非您的WordPress网站已被黑客入侵（稍后我们将详细讨论），否则您将进行所有更改和更新。 WordPress跟踪用户活动 但是，许多站点允许注册的用户不止一个。例如，您可能会鼓励您的访问者注册订阅者帐户。或者，您可能有一个由作家、开发人员、编辑和第三方承包商组成的整个团队来帮助您创建和管理内容。 无论哪种方式，有这么多人访问您的网站都会导致很多不确定性。找出谁删除了帖子，或者弄清用户资料被更改的原因并不总是那么容易。如果您担心某个特定更改是恶意的，或者您只是想知道它发生的原因，那么您可能没有一个好的方法来继续。 这就是为什么在您的WordPress网站上跟踪活动如此重要的原因。拥有每个重大更改的活动日志，以及有关更改发生时间和涉及哪些用户的详细信息，可以更轻松地处理意外事件。即使您是您网站上的唯一用户，这种类型的日志也可以帮助您追踪由于成功的黑客攻击而导致的更改来源。 当然，您不能手动维护活动日志。幸运的是，您可以使用WordPress活动日志插件来自动处理这项工作。您需要做的就是在需要日志包含的信息时查看日志。 WP Security Audit Log 市场上最好的插件之一是WP Security Audit Log。您可以在WordPress插件库上下载免费版本。在撰写本文时，它拥有超过70,000次活跃安装。它还由开发人员定期积极更新。 WP Security Audit Log插件 还有一个高级版本（起价为每年 89 美元），它为您提供报告、即时电子邮件警报和搜索等附加功能。但是所有的日志记录功能都是完全免费的。 配置WP Security Audit Log 我们在这篇文章中使用了免费版本的WP Security Audit Log。安装后激活后首先看到的是配置向导。 步骤1 单击“Start Configuring the Plugin”开始。 配置WP Security Audit Log插件 步骤2 选择“Basic”或“Geek”。 Basic：如果您只需要基本的日志记录数据，请选择此选项。 Geek：如果您想要插件必须提供的所有数据，请选择此选项。 您可以在以后随时更改这些设置，但对于此示例，我们将使用“Geek”选项向您展示更多WP Security Audit Log插件。 WP Security Audit Log插件Geek设置 […]

较低的WordPress上传限制可阻止您上传大文件，插件和主题。如果您要建立一个拥有大量多媒体资源的网站，那这将是一个很大的障碍。在这种情况下，有必要增加WordPress或服务器（或两者）中的最大上传大小。 也经常在WordPress交流群里看到站长咨询关于WordPress上传文件大小限制的问题，因此，我们有必要针对WordPress上传大小限制话题撰写一篇文章，以解众惑。 根据不同的服务器托管提供商和服务器，有很多方法可以解决此问题。我们将在本教程中尽可能全面地介绍设置WordPress最大上传大小限制。 WordPress最大上传限制是多少？ 如何检查WordPress当前最大上传限制 为什么要增加WordPress最大上传限制？ 增加WordPress最大上传限制的10种方法 不要编辑 “wp-config.php” 文件 验证WordPress网站新的最大上传限制 WordPress最大上传限制是多少？ 将大文件上传到服务器会消耗大量服务器资源。为了防止用户因上传文件造成服务器超时，WordPress默认的最大上传大小通常为4 MB到128 MB。通常，服务器托管提供商或者服务器软件在服务器级别设置此限制。 WordPress还包含定义此限制的常量，但在大多数情况下它们不能覆盖服务器级别的设置。 服务器默认最大上传文件大小，不同的服务器提供商有不同的设置，一般不会超过128MB。 要验证这一点，请转到WordPress网站的“媒体库”。在这里，尝试上传超出此最大上传文件大小限制的文件。您会看到一条类似以下内容的错误消息： 在WordPress中上传大文件时出错 “超过了站点的最大上传限制”主要有两个原因：安全性和效率。这会阻止站点所有者和其他用户（包括恶意行为者）上传大文件（例如，高分辨率图像，大视频）。 否则，可能导致网站服务器无法使用，从而使网站无法正常运行。更糟糕的是，它可能会使网站彻底瘫痪！ 如何检查WordPress当前的最大上传限制 有很多方法可以检查您的WordPress网站当前的最大上传限制，具体如下。 在媒体库中 检查网站当前最大上传限制的最便捷的方法是转到WordPress仪表盘，然后从此处转到媒体>媒体库。点击添加新文件按钮以启用媒体上传工具。 WordPress最大上传文件大小 国外部分服务器托管站点时，最大上传文件大小消息将显示在“选择文件”按钮下方。如果您使用其他网络托管服务提供商，则可能会在此处看到其他限制。 您也可以直接转到媒体>添加新内容，并在底部看到相同的消息。 WordPress媒体库中的“最大上传文件大小” 同样，您可以在此处看到最大128 MB的上传文件大小。 在站点健康信息中 WordPress 5.2添加了Site Health Info工具，以帮助您更好地调试WordPress网站。在这里，您几乎可以找到有关服务器和WordPress配置的所有信息。 由于服务器和WordPress都设置最大上传文件大小，在此界面上有两种方法可以找到最大上传文件大小值。 首先，您可以在“媒体处理”下拉列表中找到“最大单一上传文件大小”的值。 “站点健康”信息面板中的媒体处理设置 第二种方法是在“服务器”下拉列表可以看到与您的网站服务器设置相关的信息。找到“上传最大文件大小”的对应值，即你的WordPress的最大上传限制。下面截图的演示站点的最大上传文件大小限制为128 MB。 “站点健康”信息面板中的服务器设置 您还可以查看其他PHP常量及其值，例如： PHP post max size：定义POST请求的最大上传限制。 PHP memory limit：定义为PHP分配的内存。应将其设置为等于或大于最大上传限制。否则，上传将失败。 一般情况下配置越低的虚拟主机，这些选项所设置的值越小。这也是为什么小编常常建议站长尽可能选购VPS作为WordPress网站的服务器，因为允许站长自行配置这些选项的值。 为什么增加WordPress最大上传限制？ 有许多原因可能导致您需要增加WordPress网站的最大上传文件大小，最常见的原因有： 通过WordPress管理仪表盘安装大型主题或插件。 定期更新WordPress网站内容以保持读者参与度并获得更多回报。这包括定期上传新图像，视频，音频和其他媒体。但是，当您的上传文件有大小限制时，这并不总是可行的。 […]

您是否试图找出文件和文件夹的正确WordPress权限？还是您首先对WordPress权限的整个概念感到困惑？ WordPress文件权限对您网站的安全和运行至关重要，因此您必须了解它们。如果您使用的是WordPress托管，您的主机几乎可以肯定已经为您配置了一些东西，但是如果您遇到任何问题，理解这些概念仍然很有帮助。 因此，无论您从未听说过文件权限，或者您只是在为WordPress寻找正确的文件权限，我们都会在这篇文章中为您介绍。如果您已经熟悉文件权限，可以单击第二个链接直接跳转到WordPress的最佳文件权限。 什么是文件权限？ WordPress的正确文件权限 如何快速检查WordPress文件权限 如何编辑WordPress文件权限 Tips：这篇文章100%专注于WordPress文件权限以及如何使用它们来保护您的网站。如果您对控制WordPress用户权限更感兴趣，请查看我们的WordPress用户角色和权限文章。 什么是文件权限？ 简而言之，文件权限控制不同用户如何与您的WordPress站点服务器上的文件进行交互。更具体地说，文件权限控制谁可以读取、写入和执行文件： 读取：读取文件内容的能力。 写入：更改文件的能力。 执行： “使用”文件的能力（例如执行脚本）。 什么是用户？ 用户分为三种不同的“类型”： 所有者：文件或目录的指定所有者。 组：拥有文件或直接拥有文件的组的成员。 公共：除文件所有者或组成员之外的所有用户。 每个文件或文件夹都归特定用户或特定组所有。每个用户可以是多个组的成员，但他们只能拥有一个主要组。 例如，当您通过SFTP连接到您的站点时，您正在使用服务器上的用户帐户，并且该用户帐户属于一个或多个组，具体取决于您的服务器的配置方式。 注意：大多数人不需要掌握“用户”的概念，因为您的主机会为您配置所有这些。但是，了解了解文件权限的功能至关重要。如果您在本节中感到有些迷茫，请知道在大多数情况下，您的主机已经为您的服务器环境适当地设置了用户。 通过文件权限，您可以控制每种类型的用户（所有者、组、公共）可以对服务器上的文件和文件夹执行的操作（读取、写入、执行）。 一般来说，文件的所有者应该拥有最多的权限；属于同一组的用户将拥有相同或更少的权限；公共用户将拥有与组相同或更少的权限： 所有者 > 组 > 公共 文件权限的概念与WordPress角色和权限系统非常相似。如果您是网站的管理员，那么您拥有的控制权比编辑者更多。例如，管理员可以安装新插件，但编辑器不能。 同样，编辑器比您网站的匿名访问者拥有更多的控制权，即使编辑器没有完全管理员的权力。例如，编辑器可以编辑其他人的博客文章并发布新的博客文章，但编辑器不能安装新插件。 文件权限中的数字是什么意思？ 文件权限由称为权限模式的三位数字表示（例如777、440）。 数字中的每个数字对应于特定用户可以执行的操作： 第一个数字：控制所有者可以做什么。 第二位数字：控制用户组中的用户帐户可以做什么。 第三个数字：控制其他人可以做什么（公共）。 权限模式中的每个数字都是分配给每个操作的数字的总和： 读取： 4 写入： 2 执行： 1 如果您不想授予任何权限，请使用数字0。 同样，您在权限模式中看到的数字是实体拥有的所有权限的总和。例如，如果所有者可以读取(4) 和写入(2)，则权限模式将为6 (4+2)。 或者，如果所有者拥有所有三个权限，则为7 (4+2+1)。 因此，777是最宽松的配置。代表着： 第一个数字 – 7 – 所有者可以读取(4)、写入(2) 和执行(1) 第二个数字 – 7 – […]

备份您的网站不容忽视。在许多情况下，备份您的WordPress网站可以省去很多麻烦。例如，如果您遇到导致站点中断或更新影响其功能的错误，您将能够回滚已保存的版本。 恢复WordPress备份可以为您节省数小时的故障排除时间。另外，拥有一个意味着您可以复制您的网站或将其移至新主机。我们甚至会说，如果您没有最近的备份，则应将其添加到待办事项列表的顶部。 在本文中，我们将准确地向您展示如何做到这一点。我们将讨论您需要备份WordPress网站的哪些部分，并向您展示三种方法，包括手动方法、使用插件及通过您的主机上的功能进行WordPress备份。 WordPress网站备份简介 何时备份您的WordPress网站 如何备份WordPress网站（3种方法） WordPress网站备份简介 WordPress网站不仅仅是一个简单的文件集合，您可以将这些文件从一个位置复制并粘贴到另一个位置。如果您问自己，“我需要复制哪些文件来进行WordPress站点备份？” 然后知道你的问题有两个部分的答案： 存在于WordPress根目录中的所有文件 您的WordPress数据库 WordPress根目录是您设置为您的网站提供支持的WordPress副本的文件夹。您应该通过文件传输协议 (FTP)或安全外壳访问 (SSH)连接到您的服务器， 然后找到名为root、public或public_html的文件夹来访问该目录。 在某些情况下，该目录还可以包含您网站的名称： 访问您的WordPress网站的根目录 根目录包含从主题到插件和媒体文件的所有内容。它的一些文件包括您的网站如何与其服务器交互的规则、您添加到主题和插件中的新功能等等。 简而言之，该目录包含使WordPress工作的所有文件。但是，您实际网站的内容驻留在唯一的数据库中。您在下面看到的每个表都存储了WordPress站点的数据： 一个WordPress数据库及其表 备份数据库涉及导出所有这些表（通常为SQL格式）。然后您导入该文件的内容，您的数据库软件将覆盖现有值。 如果这还没有多大意义，请不要担心。我们将在以下部分之一中向您展示如何手动备份WordPress网站。如果您不喜欢弄乱数据库或手动复制文件的想法，请使用备份WordPress站点插件。 本质上，WordPress备份插件会创建站点文件及其数据库的副本（一起或单独）。然后这些插件使您能够选择要“恢复”的备份文件。这意味着用备份文件中的文件和数据库表覆盖现有文件和数据库表。 如果您使用信誉良好的网络主机，它可能还提供自动站点备份。此功能意味着您不必担心手动创建备份或使用插件，因为您的网络主机会为您完成。它还应该将这些备份存储一段时间以备不时之需。 何时备份您的WordPress网站 简短的回答是您应该始终对您的网站进行最近的备份。想象一下今天遇到了一个破坏站点的错误，却不知道如何解决它。 如果你有一个一天或更短的备份，你可能会没事的。但是，如果它是一周前的，它可能不包括您网站的一些最新更新。一个多月，它可能会丢失您在此期间所做的重要更改。 问问自己，在不对网站产生负面影响的情况下，您认为可能会丢失多少最近的数据。如果您运行静态站点，偶尔备份应该没问题。但是，对于论坛、在线商店、博客和大多数大型网站，一致的备份是必要的： 最近的网站备份列表 如果您四处寻找网络托管服务，您会注意到其中许多将每日备份作为重要卖点。如果您选择WordPress托管，您应该至少收到每日备份。 这似乎有点矫枉过正，但如果它能让您避免丢失一次关键数据，那么增加的价格肯定是值得的——这通常可以忽略不计。许多WordPress插件还使您能够安排备份，如果您使用不包含备份功能的预算共享主机作为交易的一部分，这可以派上用场。 这给我们带来了手动备份WordPress的显着缺点：您无法自动化该过程。对于如此重要​​的事情，我们建议采用简化的方法，以最大程度地减少某人忘记备份甚至错误丢失一些文件的机会。 最后一个警告是，在对其进行重大更改、将其移动到新主机或更改站点的域之前，您应该始终备份整个站点。如果您曾经问​​过自己，“如何在更新之前备份我的 WordPress 网站？” 然后继续阅读以下部分以找到最适合您的方法。 如何备份WordPress网站（3种方法） 既然我们已经介绍了备份网站的重要性，现在是时候探索如何去做了。让我们看看如何使用四种方法备份WordPress网站。 1. 如何手动备份WordPress网站 正如我们之前提到的，备份WordPress网站涉及复制其所有文件并导出其数据库的内容。您可以使用FileZilla等文件传输协议 (FTP) 客户端执行这两项任务中的第一项。 您的网络主机应为您提供一组凭据，您可以使用这些凭据通过FTP或在我们的示例中为SFTP连接到您的网站。 使用这些凭据，您将能够连接到您的服务器并找到您的WordPress根目录。在许多情况下，该目录称为public 。要开始，请继续复制或下载整个文件夹： 下载WordPress根目录 下载可能需要一段时间，因为大多数WordPress网站都包含数百或数千个文件。备份完成后，我们建议您将该文件夹重命名为备份日期，然后将其存储在安全位置。它可以让您将整个WordPress网站（包括所有媒体）保存在您的PC或云存储解决方案中。 这就回答了“如何使用FTP 备份我的WordPress网站？”这个问题。— 这给我们留下了您的数据库。备份该元素的最简单方法是转到您的主机控制面板并查找您的数据库管理软件。 您需要进入您网站对应的数据的phpMyAdmin，它将启动数据库管理器。从左侧菜单中选择您网站的数据库，您应该会看到如下表的列表： phpMyAdmin中的WordPress数据库表 接下来，在屏幕顶部的菜单中选择Export。phpMyAdmin会询问您要使用哪种导出方法。Quick选项将自动将您站点的所有表包含在SQL文件中，这正是我们想要的。 确保在Format下选择SQL ，然后单击Go： 从phpMyAdmin导出您网站的表格 您的数据库文件应立即下载。而已！ 在这个阶段，您拥有WordPress根目录及其数据库的副本。您可以将站点目录和数据库SQL文件压缩在一起，以备不时之需。 […]

如果安装一个名为Limit Login Attempts的插件。在某些情况下，如果您多次输入错误的密码，“限制登录尝试”也可能会将您锁定。在本文中，我们将向您展示如何在WordPress中解锁限制登录尝试插件。 FTP或文件管理器方法 对于初学者来说，最简单的解决方案是使用FTP删除Limit Login Attempts插件，然后在您可以登录后重新安装它。 您需要通过FTP登录到您的站点，然后转到/wp-content/plugins/。到达那里后，您只需删除limit-login-attempts插件文件夹即可。 您也可以使用您的网络主机的cPanel文件管理器执行此操作。 只需浏览到/wp-content/plugins/并删除limit-login-attempts文件夹。 MySQL查询 对于熟悉MySQL和phpMyAdmin的高级用户，您可以轻松运行以下SQL查询，它将清除所有锁定。 UPDATE wp_options SET option_value = ” WHERE option_name = ‘limit_login_lockouts’ LIMIT 1; 如果您想解锁您的特定 IP，例如 111.222.111.222，请运行如下查询： UPDATE wp_options SET option_value = REPLACE(option_value, ‘111.222.111.222’, ”) WHERE option_name = ‘limit_login_lockouts’ LIMIT 1; 如果您更改了数据库前缀，请确保更新您的IP地址以及数据库表前缀。 我们希望本教程能帮助您解除WordPress限制登录尝试锁定。

黑客可能会使用蛮力攻击来尝试猜测您的管理员密码。如果您限制他们可以尝试登录的次数，那么您会大大降低他们成功的机会。 在本文中，我们将向您展示如何以及为何应限制WordPress网站登录尝试次数。 为什么要限制WordPress登录尝试次数？ 蛮力攻击是一种使用反复试验来入侵您的WordPress网站的方法。 最常见的蛮力攻击类型是密码猜测。黑客使用自动化软件不断猜测您的登录信息，以便他们可以访问您的网站。 默认情况下，WordPress允许用户根据需要多次输入密码。黑客可能会尝试通过使用输入不同组合的脚本来利用此漏洞，直到他们猜到正确的登录名。 您可以通过限制每个用户的失败登录尝试次数来防止暴力攻击。例如，您可以在5次登录尝试失败后暂时锁定用户。 不幸的是，一些用户在多次错误地输入密码后发现自己被锁定在自己的WordPress网站之外。如果您发现自己处于这种情况，那么您应该按照我们指南中有关如何取消WordPress限制登录尝试的步骤进行操作。 话虽如此，让我们来看看如何限制您的WordPress网站上的登录尝试。 如何限制WordPress登录尝试次数 您需要做的第一件事是安装并启用Limit Login Attempts Reloaded插件。 免费版本是本教程所需的全部内容。启用插件后，您应该访问Settings » Limit Login Attempts页面，然后单击顶部的Settings选项卡。 默认设置适用于大多数网站，但我们将引导您了解如何为您的网站自定义插件设置。 为了遵守GDPR法律，您可以单击“GDPR compliance”复选框以在登录页面上显示一条消息。 接下来，您将选择是否在有人被锁定时收到通知。如果您愿意，您可以更改发送通知的电子邮件地址。默认情况下，您将在用户第三次被锁定时收到通知。 之后，您应该向下滚动到“Local App”部分，您可以在其中定义可以进行多少次登录尝试以及用户必须等待多长时间才能再次尝试。 首先，您需要定义可以进行多少次登录尝试。之后，选择用户在超过失败尝试次数时必须等待的分钟数。默认值为20分钟。 您还可以在用户被锁定指定次数后增加等待时间。例如，默认设置将不允许用户在被锁定4次后24小时内尝试登录。 出于安全原因，建议您不要更改“Trusted IP Origins”设置。 不要忘记单击屏幕底部的“Save Settings”按钮来存储您的更改。 关于如何保护WordPress网站的专业提示 限制登录尝试只是保持 WordPress 网站安全的一种方法。 您的WordPress网站的第一层保护是您的密码。您应该始终在WordPress网站上使用强密码。 强密码可能难以记住，但您可以使用密码管理器来轻松记住。 如果您的WordPress登录页面仍然受到攻击，那么您可以添加的另一层保护是Google reCAPTCHA for WordPress login 。这将进一步有助于减少DDoS攻击。 没有网站是100%安全的，因为黑客总能找到绕过系统的新方法。这就是为什么始终保持WordPress网站的完整备份至关重要的原因。我们建议使用UpdraftPlus或其他流行的WordPress备份插件。 如果您的网站是一家企业，那么我们强烈建议您添加防火墙来处理暴力攻击等等。我们使用Sucuri来保证我们的安全，如果我们的网站发生任何问题，他们的团队有责任免费修复它。 有关更多安全提示，请务必查看我们的WordPress安全检查清单。 我们希望本教程能帮助您了解如何限制WordPress登录尝试次数，以防有心之人搞破坏！

无论您有多精通技术或使用WordPress多久；总有一天会出现可怕的错误。有时是用户错误，有时是由于插件漏洞而被黑客入侵。如果您不知道如何修复它，或者认为这可能需要很多时间，那么解决问题的最快捷、最简单的方法是从备份中恢复WordPress。毕竟，这就是您有备份的原因，或者您应该这样做。 在本指南中，我们将介绍如何使用六种不同的方法从备份中恢复WordPress。使用某些选项，您可以在几分钟内恢复运行。 了解WordPress备份的工作原理 从宝塔面板备份中还原WordPress 设置宝塔自动备份计划任务 使用插件从备份中恢复WordPress 使用phpMyAdmin恢复WordPress数据库备份 使用cPanel恢复WordPress数据库备份 从仪表盘或使用SFTP手动恢复WordPress文件 了解WordPress备份的工作原理 在我们深入研究如何从备份中恢复WordPress之前，首先了解它们的工作原理很重要。标准的WordPress备份包含您网站的文件和MySQL数据库。但是WordPress备份可能会因用于备份的内容而异。 WordPress备份插件 如果您使用的是WordPress备份插件，通常他们会给您选择只保留您的/wp-content/uploads/和数据库（有时还有您的主题和插件文件夹）以节省磁盘空间。数据库包含您的所有数据，而uploads文件夹包含您无法通过其他方式恢复的重要文件，例如媒体库中的图像。 主题和插件通常可以轻松重新安装。但是，大多数备份插件都可以让您选择做所有事情或仅限于节省空间。 如果您使用的是支持增量备份的备份插件（这是我们推荐的），它将首先进行整个站点备份，然后仅在您的站点上存储更改。这大大减少了磁盘空间使用量，并且性能更好，因为它不会在重复的计划中一次敲打您的服务器。 使用WordPress主机的一键式还原点 如果您有托管服务提供商的WordPress备份，这些备份通常更像是您网站的快照。你可以把它想象成Mac上的Time Machine。大多数托管的WordPress主机让您一键恢复到某个时间点。这是迄今为止最简单、最方便的方法！ 当然国内很多云服务器提供商都提供备份技术支持服务，比如阿里云，百度云、腾讯云及华为云都提供类似的快照、克隆或者镜像支持，可以实现一键还原。 注：如果你使用了单独的云数据库，你还需要为云数据库启用自动备份任务，才可以实现一键还原。 从宝塔面板备份中还原WordPress 您可以直接在“宝塔”面板中轻松恢复您的WordPress站点。只需按照以下步骤操作即可。 需要清楚地知道宝塔面板不会自动备份网站文件及数据库，这跟大厂的备份一样，都需要你先启用备份计划，才会有备份数据。此外，宝塔面板的备份与云服务器提供商提供的一键备份还原有质的区别。 像阿里云的每个备份都是创建备份时此环境的文件、数据库、重定向和Nginx配置的完整快照。当您恢复备份时，对网站文件、数据库、重定向和Nginx配置的所有更改都将回滚到创建备份的时间。 但宝塔面板备份的仅是网站文件及数据库，不会对整个服务器进行备份及还原。 第1步 首先，登录宝塔面板。转到左侧的“网站”，然后单击您需要为其恢复备份的WordPress站点的备份列下方的“备份入口”，或者直接访问/www/backup/site。 WordPress网站备份 第2步 将备份的数据压缩包解压并覆盖现有的网站目录，你也可以直接删除现有的网站数据，使用备份的数据直接替代旧数据。至此，即可恢复网站的文件数据。下面你，还需要恢复数据库。 第3步 要“恢复”数据库，你需要进入宝塔面板的“数据库”，选择你需要恢复数据库的网站对应数据库行，点击备份下方的导入： WordPress数据库备份恢复 选择最新的数据库备份文件，点击导入即可恢复网站数据库 WordPress数据库备份恢复 注：宝塔面板的网站文件及数据库备份恢复依赖宝塔面板的计划任务，或者你的手动备份。我们将会在下一个章节讲到。 设置宝塔自动备份计划任务 在宝塔面板，您可以为您的WordPress网站文件及数据库设置备份计划任务，以便于您日后需要，快速将网站恢复至此前的状态。 您可以通过宝塔面板的“计划任务”设置自动备份计划任务。 宝塔计划任务 要设置网站备份，您只需要在任务类型处选择“备份网站”，然后设置任务名称、执行周期及选择备份网站、对应的备份路径，点击添加任务即可。 宝塔网站备份任务 要设置网站数据库备份，设置类似网站备份，不同的是任务类型及需选择对应网站的数据库，最后点击添加任务。 宝塔数据库备份任务 使用插件从备份中恢复WordPress 接下来，我们将向您展示如何使用插件从备份中恢复 WordPress。我们只推荐使用支持增量备份的备份。 增量网站备份是指系统仅在站点文件和数据库表发生更改时创建备份。这样做的原因是为了提高您的站点性能并避免服务器上出现数十个不必要的备份文件。因此，最好是您的备份插件扫描最新的文件并在没有任何更改的情况下跳过下一个备份。 以下是我们推荐的四个备份插件： WP Time Capsule VaultPress ManageWP BlogVault […]

寻找一种密码保护WordPress的方法？有很多不同的方法可以为您的网站添加密码保护，包括密码保护您的整个WordPress网站、仅保护特定内容，甚至仅保护其他公开内容的一部分。 其中一些解决方案需要使用插件，而其他解决方案则使用您可以在服务器级别进行的核心WordPress功能或配置。 在这篇文章中，我们将尝试涵盖尽可能多的不同方法。总的来说，您将学习： 如何使用密码保护您的整个WordPress网站 如何使用密码保护目录 如何使用密码保护文章、页面和WooCommerce产品 如何使用密码保护某个类别的WordPress文章 如何密码保护WordPress文章的一部分 您可以单击上面的任何链接直接跳转到特定方法，或者您可以通读以了解如何使用密码保护您的WordPress网站的所有方法。 如何使用密码保护您的整个WordPress网站 如果你想用密码保护你的整个 WordPress 网站，你有两个主要选择： 一个插件 服务器级别的HTTP身份验证 在这两者中，插件方法对于面向用户的站点来说肯定更加用户友好和更好，而HTTP身份验证是密码保护WordPress登台站点或其他类型的非面向用户站点的有效方法。 如何使用插件对WordPress网站进行密码保护 为了对您的整个WordPress网站进行密码保护，我们推荐Ben Huson提供的免费密码保护插件，该插件在WordPress.org上获得了很高的评价和可用。 安装并激活插件后，您可以转到“设置”→“Password Protected”来配置插件的设置。 选中Password Protected Status框以启用密码保护并在New Password框中输入所需的密码。 该插件的另一个好处是它还为您提供了将某些类型的用户/请求以及IP地址列入白名单的选项。如果需要，您可以配置这些： 如何使用密码保护您的整个WordPress网站 激活它后，任何尝试访问您网站的人都需要在精简版的WordPress登录页面中输入密码： 全站密码表格 如果您想将登录页面徽标从通用WordPress徽标更改，您可以使用免费的Login Logo插件。 如何使用HTTP身份验证对WordPress网站进行密码保护 通过基本的HTTP身份验证（又名htpasswd保护），您可以在人们加载您的网站之前添加额外的密码保护层，这就是为什么它是WordPress登台或开发网站的绝佳选择。 您可以参考教程为您的WordPress网站启用htpasswd保护。 启用后，您的WordPress网站将需要身份验证才能访问它。您可以随时更改凭据或在不再需要时将其禁用。 .htpasswd身份验证提示 如何使用密码保护目录 需要密码保护您网站上的目录？也许您有一个位于WordPress安装之外的文件夹，您不希望公众访问该文件夹。 apache 要手动设置，您首先需要创建一个 .htpasswd文件。您可以使用这个方便的生成器工具。然后将文件上传到您要保护的目录。 www/user/public/protecteddirectory 然后用下面的代码创建一个.htaccess文件，上传到你要保护的目录的路径下。确保更新目录路径和用户名。 AuthType Basic AuthName “restricted area” AuthUserFile /www/user/public/protecteddirectory.htpasswd require valid-user Nginx 如果您正在运行Nginx，您还可以使用HTTP基本身份验证来限制访问。看看这个教程。 如果您使用具有cPanel的提供商进行托管，您可以使用位于“Files”部分下的“Directory Privacy”工具设置受密码保护的目录。 […]

没有人喜欢花不必要的钱——这是人之常情。即使是世界上最富有的人之一，沃伦巴菲特，仍然会搜索他购买的汽车的折扣（好吧，也许这是一个极端的例子——你明白了）。 因为人们总是在寻找降低成本的方法，一些WordPress用户倾向于转向无效的WordPress主题和插件，而不是为官方高级版本付费。 在这篇文章中，我们将告诉您为什么使用无效的WordPress插件和主题是一个坏主意……即使它不一定违反任何法律。 什么被认为是空插件和主题？ 当涉及到术语无效时，网络上有各种定义。正如我们定义的那样，它指的是高级 WordPress 插件或主题已被黑客入侵或包含旨在造成伤害或收集信息的修改代码。这些是从第三方网站（不是原始作者或创建者）获得的，有时无需许可证密钥即可工作。 无效的WordPress插件和主题不一定是非法的 让我们从房间里的大象开始…… 如果您使用无效的WordPress插件或主题，FBI不太可能会敲门。这是因为，与人们通常“盗版”的其他内容（例如音乐、电影）相比，无效的WordPress插件和主题通常不会违反法律。 这里的原因与GPL（通用公共许可证）有关。如果不将此作为版权课程，您只需要知道GPL许可允许的部分内容是任何人都可以自由分发GPL许可软件（是的——甚至是高级GPL许可软件）。 因此，如果一个无效的插件站点将一个GPL许可软件供下载，从技术上讲，他们并没有违法，因为他们有权自由分发该GPL代码。 GPL是WordPress的重要组成部分，大多数（但不一定是全部）WordPress主题和插件都使用 GPL。这部分是因为主题和插件必须符合GPL才能在WordPress.org目录中列出。 虽然高级插件不需要GPL许可证，但许多插件在WordPress插件库上也有免费增值版本，然后需要GPL许可证。或者他们选择拥有GPL许可证。许多高级插件，如WP Rocket和Gravity Forms都是GPL许可的。 还有其他原因——比如能够在插件和主题中使用现有的GPL许可代码。通常，如果您在产品中使用现有的GPL许可代码，则必须在GPL下发布后续产品（这就是2017年WordPress和Wix之间争吵的原因）。 GPL很复杂，我们过度简化了一些原则，以将核心思想浓缩成几段。但基本上——你看到的大多数无效的WordPress插件和主题可能没有做任何违法的事情。事实上，GPL是WordPress出色的原因之一。 但这并不意味着你应该出去把你的网站装满无效的扩展…… 您仍然不应该使用无效的WordPress扩展的四个原因（即使它们是合法的） 仅仅因为无效的扩展是合法的，这并不意味着在您的WordPress网站上使用它们是一个好主意。 以下是您仍然不应在您的网站上使用无效插件或主题的四个原因。 你不知道代码中还有什么 开发人员需要资金来继续改进他们的产品 您不会从开发人员那里获得任何支持 您不会获得任何自动更新 1.你不知道代码中还有什么 当您从开发人员以外的来源（或受信任的插件库，如WordPress.org）下载扩展程序时，您不知道代码中还隐藏着什么。 恶意行为者喜欢使用无效的插件或主题来插入他们自己讨厌的有效载荷，例如为SEO注入链接，甚至更险恶的行为。 当您使用空扩展时，您将自己暴露在这种类型的漏洞中，因为除非您有知识和时间来挖掘所有代码，否则您不知道空扩展中还隐藏着什么。 除此之外，您可能会取消主机的任何潜在帮助。例如，服务器提供商提供免费的黑客修复保证，但如果您的WordPress网站由于无效插件或主题中的后门而被黑客入侵，则此保证不适用。 这不是一个普遍的问题，因为您可以找到提供清洁产品的合法GPL俱乐部（通常按月收费）。但是，即使您为提供免费下载恶意代码的GPL俱乐部付费，这些扩展不是一个好主意还有其他重要原因。你怎么知道哪个GPL俱乐部可以信任？ 付费GPL俱乐部的示例 这就是为什么我们通常将从第三方网站获得的插件称为无效的。如果您不是从原作者那里获得它，那么假设它可能已经修改、不安全的代码，甚至是病毒，这样会更安全。您可以使用像VirusTotal这样的在线工具来扫描插件或主题的文件，以查看它是否检测到任何类型的恶意软件。 Virus Total 2. 开发人员需要资金来继续改进他们的产品 虽然大多数开发人员确实喜欢创建WordPress产品，但他们中的大多数人也喜欢吃东西并负担得起。 也就是说，WordPress开发人员需要收入才能证明他们花在维护和改进产品上的时间是合理的。 当您使用无效的扩展程序时，您将剥夺他们可以用来进一步增强其插件的收入。 基本上，你是在自取其辱！ 如果每个人都使用无效版本，Elementor页面构建器团队是否能够继续推出新功能，例如主题构建？如果没有钱进来，OceanWP主题会拥有所有这些很棒的附加组件吗？ 不！当然不是。 如果您不遗余力地寻找插件或主题的无效版本，这可能意味着您认为它是您网站的宝贵补充。 因此，即使您认为开发人员为构建您的产品所付出的所有辛勤工作不值得支付，您为什么要剥夺自己在未来获得更好产品的机会？ 基本上，你应该帮助开发人员把食物摆在桌面上，这样他们就可以继续创造让你的生活更轻松的很棒的东西。 3. 你不会得到开发者的任何支持 无效的扩展可以让您获得高级插件或主题的所有功能，但它们永远无法让您获得付费客户获得的所有好处。 这是因为您使用GPL许可软件所支付的很大一部分费用是来自开发人员的支持。 当您为产品付款时，如果您遇到任何产品问题，您可以选择直接与开发人员联系。 另一方面，使用无效的扩展名，您将获得零支持。碰钉子？希望谷歌有所帮助！因为这几乎是你唯一的选择。如果您使用的插件在 WordPress […]

WordPress网站被黑。如果它发生在你身上，很容易恐慌。在这篇文章中，我将帮助您确定您的网站是否被黑客入侵，指导您完成清理网站的步骤并帮助您提高网站的安全性。 最后，我将为您提供一些提示，以防止您的WordPress网站将来再次被黑客入侵。 WordPress被黑：表明您的WordPress网站存在风险 为什么WordPress网站会被黑客入侵 WordPress如何被黑客入侵？ WordPress网站被黑：怎么办（分步指南） 如何防止您的WordPress网站被黑客入侵 WordPress被黑：表明您的WordPress网站存在风险 您的WordPress网站未按应有的方式运行。但是你怎么知道这个问题是由于黑客攻击造成的？让我们看一下您的网站已被黑客入侵的一些迹象： 您无法登录。 您的网站在您没有做任何事情的情况下发生了变化（例如，主页已被静态页面替换或添加了新内容）。 您的网站正在重定向到另一个网站。 当您或其他用户尝试访问您的网站时，您会在浏览器中收到警告。 当您搜索您的网站时，Google会发出警告，表明它可能已被黑客入侵。 您已收到来自安全插件的违规通知或意外更改通知。 您的托管服务提供商已警告您有关您帐户的异常活动。 让我们更详细地看一下其中的每一个。 您无法登录 如果您无法登录您的网站，则可能表明您的网站已被黑客入侵。但是，您更有可能刚刚忘记了密码。因此，在您假设您已被黑客入侵之前，请尝试重置您的密码。如果你不能，那是一个警告信号。即使可以，您可能仍然被黑客入侵，您必须进行更多调查。 黑客有时会删除用户或更改用户密码以阻止访问。如果您无法重置密码，则您的用户帐户可能已被删除，这是黑客入侵的迹象。 您的网站已更改 黑客的一种形式是用静态页面替换主页。如果您的网站看起来完全不同并且没有使用您的主题，则它可能已被黑客入侵。 这些更改可能更加微妙，可能会添加虚假内容或指向令人讨厌的网站的链接。如果您的页脚充满了您没有添加的链接，特别是如果这些链接被隐藏或字体很小，那么您可能已被黑客入侵。 在您假设您已被黑客入侵之前，请与其他网站管理员或编辑核实，以确保他们没有意外进行更改。 如果您的主题不是来自信誉良好的来源并且您最近更新了它，那可能是罪魁祸首。 您的网站正在重定向 有时，黑客会添加一个脚本，当人们访问您的站点时将其重定向到另一个站点。这可能是您不希望您的用户被带到的网站。 当我管理的一个学校网站重定向到一个约会网站时，这发生在我身上。正如你可以想象的那样，我的客户很不高兴，不得不放弃我正在做的所有其他事情并立即修复它。事实证明，这是服务器上的不安全问题，而不是我的网站上的安全问题，这是只使用优质托管的原因之一。我尽快更换了托管服务提供商并几乎立即修复了这个问题。 浏览器警告 如果您的浏览器警告您的网站已被入侵，则可能表明您的网站已被黑客入侵。这也可能是由于您需要删除的主题或插件中的某些代码，或者是域或SSL的问题。 请参阅浏览器中带有警告的建议，以帮助您诊断问题。 搜索引擎警告 当您搜索您的网站时，如果它被黑客入侵，Google可能会显示警告。这可能意味着站点地图已被黑客入侵，这将影响Google抓取您网站的方式。或者这可能是一个更大的问题：您需要进行下面的诊断以确切了解发生了什么。 谷歌警报 – 该网站可能已被黑客入侵 为什么WordPress网站会被黑客入侵 WordPress网站被黑的原因有很多，但这里是最常见因素的概述。 1. 不安全的密码 这是黑客入侵的最常见原因之一。世界上最常用的密码是“密码”。安全密码不仅适用于您的WordPress管理员帐户，而且适用于您的所有用户和网站的所有方面，包括FTP和托管。 2. 过时的软件 插件和主题，以及WordPress本身，都受到需要应用到您网站的安全更新的约束。如果您不使您的主题、插件和 WordPress 版本保持最新，那么您的网站就会容易受到攻击。 3.不安全的代码 并非来自可靠来源的插件和主题可能会给您的网站带来漏洞。如果您需要免费的WordPress主题或插件，请从官方主题目录安装它们。 购买高级主题和插件时，请务必检查供应商的声誉，并从您信任的人和来源获得推荐。切勿安装无效插件，它们是来自免费网站的高级插件，旨在造成伤害或收集信息。 WordPress如何被黑客入侵？ 如果您想了解更多有关WordPress 网站如何被黑客入侵的信息（如果您自己的网站被黑客入侵，您不会急于采取措施），以下是黑客进入您网站的主要途径： 后门——这些绕过访问您网站的正常方法，例如通过脚本或隐藏文件。一个例子是2013年的Tim Thumb漏洞。 Pharma […]

  由于WordPress广受欢迎，它是世界各地垃圾邮件发送者的热门目标。他们可能只是试图利用您的网站并获得访问权限。或者，他们可能想向您的社区发送垃圾邮件，例如用垃圾邮件主题填满您的论坛。 如果您允许在您的WordPress网站上公开注册，您几乎肯定会遇到某种形式的垃圾邮件注册问题。 在这篇文章中，您将学习如何使用内置的WordPress功能和免费插件来减少垃圾邮件注册。 默认的WordPress注册过程 如何拦截WordPress注册垃圾邮件 默认的WordPress注册过程 在我们讨论策略之前，让我们简要讨论一下默认的WordPress注册过程。 如果您允许在您的站点上公开注册，默认的WordPress注册页面位于https://yoursite.com/wp-login.php?action=register： 默认的WordPress注册表单 如您所见，没有太多可以阻止恶意行为者或机器人创建垃圾邮件注册。 机器人可以通过将相同的公式附加到每个WordPress域直接进入您的注册页面，并且没有什么可以阻止它们填写表单字段。 如何拦截WordPress注册垃圾邮件 您可以使用多种不同的策略来拦截WordPress注册垃圾邮件。根据您网站的需求和问题的严重程度，您可能只需要实施其中一种策略，或者您可能需要尝试多种策略来阻止垃圾邮件。 以下是完整的策略列表： 完全禁用WordPress注册 将验证码添加到您的注册表单 使用专用的WordPress注册垃圾邮件插件 新用户需要管理员批准 拦截恶意IP地址 更改WordPress注册URL 使用自定义WordPress注册表单插件 完全禁用WordPress注册 首先，如果您不需要在您的WordPress网站上公开注册，最好完全禁用注册，而不是试图打击垃圾邮件注册。 即使您需要在您的站点上提供其他用户帐户，这并不一定意味着您需要启用公共注册。例如，如果您只需要少数人拥有自己的帐户，您可以手动为他们创建帐户，而不是让他们自己注册。 要完全禁用WordPress上的用户注册，请转到设置 → 常规并确保未选中任何人都可以注册框： 如何禁用WordPress注册 禁用注册后，任何尝试访问您的默认注册页面的人都会看到以下消息： 禁用注册示例 将验证码添加到您的注册表单 抵御用户注册垃圾邮件的另一种方法是在默认的WordPress注册表单中添加验证码。 您可以使用多种类型的CAPTCHA，但大多数人认为Google的reCAPTCHA服务是对用户最友好的一种（也称为No CAPTCHA reCAPTCHA）。它旨在对大多数合法的人类访问者不可见，同时仍向其确定可能是机器人的访问者显示验证码测试。 要将NoCAPTCHA reCAPTCHA添加到您的WordPress注册表单，您可以使用免费的Advanced noCaptcha & invisible Captcha (v2 & v3)插件。 要设置插件，您首先需要从Google生成一个免费的reCAPTCHA API密钥——只需输入您的网站并选择要使用的reCAPTCHA类型： 生成reCAPTCHA API密钥 然后，您可以进入设置 → Advanced noCaptcha & invisible […]