教学

无论您有多精通技术或使用WordPress多久；总有一天会出现可怕的错误。有时是用户错误，有时是由于插件漏洞而被黑客入侵。如果您不知道如何修复它，或者认为这可能需要很多时间，那么解决问题的最快捷、最简单的方法是从备份中恢复WordPress。毕竟，这就是您有备份的原因，或者您应该这样做。 在本指南中，我们将介绍如何使用六种不同的方法从备份中恢复WordPress。使用某些选项，您可以在几分钟内恢复运行。 了解WordPress备份的工作原理 从宝塔面板备份中还原WordPress 设置宝塔自动备份计划任务 使用插件从备份中恢复WordPress 使用phpMyAdmin恢复WordPress数据库备份 使用cPanel恢复WordPress数据库备份 从仪表盘或使用SFTP手动恢复WordPress文件 了解WordPress备份的工作原理 在我们深入研究如何从备份中恢复WordPress之前，首先了解它们的工作原理很重要。标准的WordPress备份包含您网站的文件和MySQL数据库。但是WordPress备份可能会因用于备份的内容而异。 WordPress备份插件 如果您使用的是WordPress备份插件，通常他们会给您选择只保留您的/wp-content/uploads/和数据库（有时还有您的主题和插件文件夹）以节省磁盘空间。数据库包含您的所有数据，而uploads文件夹包含您无法通过其他方式恢复的重要文件，例如媒体库中的图像。 主题和插件通常可以轻松重新安装。但是，大多数备份插件都可以让您选择做所有事情或仅限于节省空间。 如果您使用的是支持增量备份的备份插件（这是我们推荐的），它将首先进行整个站点备份，然后仅在您的站点上存储更改。这大大减少了磁盘空间使用量，并且性能更好，因为它不会在重复的计划中一次敲打您的服务器。 使用WordPress主机的一键式还原点 如果您有托管服务提供商的WordPress备份，这些备份通常更像是您网站的快照。你可以把它想象成Mac上的Time Machine。大多数托管的WordPress主机让您一键恢复到某个时间点。这是迄今为止最简单、最方便的方法！ 当然国内很多云服务器提供商都提供备份技术支持服务，比如阿里云，百度云、腾讯云及华为云都提供类似的快照、克隆或者镜像支持，可以实现一键还原。 注：如果你使用了单独的云数据库，你还需要为云数据库启用自动备份任务，才可以实现一键还原。 从宝塔面板备份中还原WordPress 您可以直接在“宝塔”面板中轻松恢复您的WordPress站点。只需按照以下步骤操作即可。 需要清楚地知道宝塔面板不会自动备份网站文件及数据库，这跟大厂的备份一样，都需要你先启用备份计划，才会有备份数据。此外，宝塔面板的备份与云服务器提供商提供的一键备份还原有质的区别。 像阿里云的每个备份都是创建备份时此环境的文件、数据库、重定向和Nginx配置的完整快照。当您恢复备份时，对网站文件、数据库、重定向和Nginx配置的所有更改都将回滚到创建备份的时间。 但宝塔面板备份的仅是网站文件及数据库，不会对整个服务器进行备份及还原。 第1步 首先，登录宝塔面板。转到左侧的“网站”，然后单击您需要为其恢复备份的WordPress站点的备份列下方的“备份入口”，或者直接访问/www/backup/site。 WordPress网站备份 第2步 将备份的数据压缩包解压并覆盖现有的网站目录，你也可以直接删除现有的网站数据，使用备份的数据直接替代旧数据。至此，即可恢复网站的文件数据。下面你，还需要恢复数据库。 第3步 要“恢复”数据库，你需要进入宝塔面板的“数据库”，选择你需要恢复数据库的网站对应数据库行，点击备份下方的导入： WordPress数据库备份恢复 选择最新的数据库备份文件，点击导入即可恢复网站数据库 WordPress数据库备份恢复 注：宝塔面板的网站文件及数据库备份恢复依赖宝塔面板的计划任务，或者你的手动备份。我们将会在下一个章节讲到。 设置宝塔自动备份计划任务 在宝塔面板，您可以为您的WordPress网站文件及数据库设置备份计划任务，以便于您日后需要，快速将网站恢复至此前的状态。 您可以通过宝塔面板的“计划任务”设置自动备份计划任务。 宝塔计划任务 要设置网站备份，您只需要在任务类型处选择“备份网站”，然后设置任务名称、执行周期及选择备份网站、对应的备份路径，点击添加任务即可。 宝塔网站备份任务 要设置网站数据库备份，设置类似网站备份，不同的是任务类型及需选择对应网站的数据库，最后点击添加任务。 宝塔数据库备份任务 使用插件从备份中恢复WordPress 接下来，我们将向您展示如何使用插件从备份中恢复 WordPress。我们只推荐使用支持增量备份的备份。 增量网站备份是指系统仅在站点文件和数据库表发生更改时创建备份。这样做的原因是为了提高您的站点性能并避免服务器上出现数十个不必要的备份文件。因此，最好是您的备份插件扫描最新的文件并在没有任何更改的情况下跳过下一个备份。 以下是我们推荐的四个备份插件： WP Time Capsule VaultPress ManageWP BlogVault […]

寻找一种密码保护WordPress的方法？有很多不同的方法可以为您的网站添加密码保护，包括密码保护您的整个WordPress网站、仅保护特定内容，甚至仅保护其他公开内容的一部分。 其中一些解决方案需要使用插件，而其他解决方案则使用您可以在服务器级别进行的核心WordPress功能或配置。 在这篇文章中，我们将尝试涵盖尽可能多的不同方法。总的来说，您将学习： 如何使用密码保护您的整个WordPress网站 如何使用密码保护目录 如何使用密码保护文章、页面和WooCommerce产品 如何使用密码保护某个类别的WordPress文章 如何密码保护WordPress文章的一部分 您可以单击上面的任何链接直接跳转到特定方法，或者您可以通读以了解如何使用密码保护您的WordPress网站的所有方法。 如何使用密码保护您的整个WordPress网站 如果你想用密码保护你的整个 WordPress 网站，你有两个主要选择： 一个插件 服务器级别的HTTP身份验证 在这两者中，插件方法对于面向用户的站点来说肯定更加用户友好和更好，而HTTP身份验证是密码保护WordPress登台站点或其他类型的非面向用户站点的有效方法。 如何使用插件对WordPress网站进行密码保护 为了对您的整个WordPress网站进行密码保护，我们推荐Ben Huson提供的免费密码保护插件，该插件在WordPress.org上获得了很高的评价和可用。 安装并激活插件后，您可以转到“设置”→“Password Protected”来配置插件的设置。 选中Password Protected Status框以启用密码保护并在New Password框中输入所需的密码。 该插件的另一个好处是它还为您提供了将某些类型的用户/请求以及IP地址列入白名单的选项。如果需要，您可以配置这些： 如何使用密码保护您的整个WordPress网站 激活它后，任何尝试访问您网站的人都需要在精简版的WordPress登录页面中输入密码： 全站密码表格 如果您想将登录页面徽标从通用WordPress徽标更改，您可以使用免费的Login Logo插件。 如何使用HTTP身份验证对WordPress网站进行密码保护 通过基本的HTTP身份验证（又名htpasswd保护），您可以在人们加载您的网站之前添加额外的密码保护层，这就是为什么它是WordPress登台或开发网站的绝佳选择。 您可以参考教程为您的WordPress网站启用htpasswd保护。 启用后，您的WordPress网站将需要身份验证才能访问它。您可以随时更改凭据或在不再需要时将其禁用。 .htpasswd身份验证提示 如何使用密码保护目录 需要密码保护您网站上的目录？也许您有一个位于WordPress安装之外的文件夹，您不希望公众访问该文件夹。 apache 要手动设置，您首先需要创建一个 .htpasswd文件。您可以使用这个方便的生成器工具。然后将文件上传到您要保护的目录。 www/user/public/protecteddirectory 然后用下面的代码创建一个.htaccess文件，上传到你要保护的目录的路径下。确保更新目录路径和用户名。 AuthType Basic AuthName “restricted area” AuthUserFile /www/user/public/protecteddirectory.htpasswd require valid-user Nginx 如果您正在运行Nginx，您还可以使用HTTP基本身份验证来限制访问。看看这个教程。 如果您使用具有cPanel的提供商进行托管，您可以使用位于“Files”部分下的“Directory Privacy”工具设置受密码保护的目录。 […]

没有人喜欢花不必要的钱——这是人之常情。即使是世界上最富有的人之一，沃伦巴菲特，仍然会搜索他购买的汽车的折扣（好吧，也许这是一个极端的例子——你明白了）。 因为人们总是在寻找降低成本的方法，一些WordPress用户倾向于转向无效的WordPress主题和插件，而不是为官方高级版本付费。 在这篇文章中，我们将告诉您为什么使用无效的WordPress插件和主题是一个坏主意……即使它不一定违反任何法律。 什么被认为是空插件和主题？ 当涉及到术语无效时，网络上有各种定义。正如我们定义的那样，它指的是高级 WordPress 插件或主题已被黑客入侵或包含旨在造成伤害或收集信息的修改代码。这些是从第三方网站（不是原始作者或创建者）获得的，有时无需许可证密钥即可工作。 无效的WordPress插件和主题不一定是非法的 让我们从房间里的大象开始…… 如果您使用无效的WordPress插件或主题，FBI不太可能会敲门。这是因为，与人们通常“盗版”的其他内容（例如音乐、电影）相比，无效的WordPress插件和主题通常不会违反法律。 这里的原因与GPL（通用公共许可证）有关。如果不将此作为版权课程，您只需要知道GPL许可允许的部分内容是任何人都可以自由分发GPL许可软件（是的——甚至是高级GPL许可软件）。 因此，如果一个无效的插件站点将一个GPL许可软件供下载，从技术上讲，他们并没有违法，因为他们有权自由分发该GPL代码。 GPL是WordPress的重要组成部分，大多数（但不一定是全部）WordPress主题和插件都使用 GPL。这部分是因为主题和插件必须符合GPL才能在WordPress.org目录中列出。 虽然高级插件不需要GPL许可证，但许多插件在WordPress插件库上也有免费增值版本，然后需要GPL许可证。或者他们选择拥有GPL许可证。许多高级插件，如WP Rocket和Gravity Forms都是GPL许可的。 还有其他原因——比如能够在插件和主题中使用现有的GPL许可代码。通常，如果您在产品中使用现有的GPL许可代码，则必须在GPL下发布后续产品（这就是2017年WordPress和Wix之间争吵的原因）。 GPL很复杂，我们过度简化了一些原则，以将核心思想浓缩成几段。但基本上——你看到的大多数无效的WordPress插件和主题可能没有做任何违法的事情。事实上，GPL是WordPress出色的原因之一。 但这并不意味着你应该出去把你的网站装满无效的扩展…… 您仍然不应该使用无效的WordPress扩展的四个原因（即使它们是合法的） 仅仅因为无效的扩展是合法的，这并不意味着在您的WordPress网站上使用它们是一个好主意。 以下是您仍然不应在您的网站上使用无效插件或主题的四个原因。 你不知道代码中还有什么 开发人员需要资金来继续改进他们的产品 您不会从开发人员那里获得任何支持 您不会获得任何自动更新 1.你不知道代码中还有什么 当您从开发人员以外的来源（或受信任的插件库，如WordPress.org）下载扩展程序时，您不知道代码中还隐藏着什么。 恶意行为者喜欢使用无效的插件或主题来插入他们自己讨厌的有效载荷，例如为SEO注入链接，甚至更险恶的行为。 当您使用空扩展时，您将自己暴露在这种类型的漏洞中，因为除非您有知识和时间来挖掘所有代码，否则您不知道空扩展中还隐藏着什么。 除此之外，您可能会取消主机的任何潜在帮助。例如，服务器提供商提供免费的黑客修复保证，但如果您的WordPress网站由于无效插件或主题中的后门而被黑客入侵，则此保证不适用。 这不是一个普遍的问题，因为您可以找到提供清洁产品的合法GPL俱乐部（通常按月收费）。但是，即使您为提供免费下载恶意代码的GPL俱乐部付费，这些扩展不是一个好主意还有其他重要原因。你怎么知道哪个GPL俱乐部可以信任？ 付费GPL俱乐部的示例 这就是为什么我们通常将从第三方网站获得的插件称为无效的。如果您不是从原作者那里获得它，那么假设它可能已经修改、不安全的代码，甚至是病毒，这样会更安全。您可以使用像VirusTotal这样的在线工具来扫描插件或主题的文件，以查看它是否检测到任何类型的恶意软件。 Virus Total 2. 开发人员需要资金来继续改进他们的产品 虽然大多数开发人员确实喜欢创建WordPress产品，但他们中的大多数人也喜欢吃东西并负担得起。 也就是说，WordPress开发人员需要收入才能证明他们花在维护和改进产品上的时间是合理的。 当您使用无效的扩展程序时，您将剥夺他们可以用来进一步增强其插件的收入。 基本上，你是在自取其辱！ 如果每个人都使用无效版本，Elementor页面构建器团队是否能够继续推出新功能，例如主题构建？如果没有钱进来，OceanWP主题会拥有所有这些很棒的附加组件吗？ 不！当然不是。 如果您不遗余力地寻找插件或主题的无效版本，这可能意味着您认为它是您网站的宝贵补充。 因此，即使您认为开发人员为构建您的产品所付出的所有辛勤工作不值得支付，您为什么要剥夺自己在未来获得更好产品的机会？ 基本上，你应该帮助开发人员把食物摆在桌面上，这样他们就可以继续创造让你的生活更轻松的很棒的东西。 3. 你不会得到开发者的任何支持 无效的扩展可以让您获得高级插件或主题的所有功能，但它们永远无法让您获得付费客户获得的所有好处。 这是因为您使用GPL许可软件所支付的很大一部分费用是来自开发人员的支持。 当您为产品付款时，如果您遇到任何产品问题，您可以选择直接与开发人员联系。 另一方面，使用无效的扩展名，您将获得零支持。碰钉子？希望谷歌有所帮助！因为这几乎是你唯一的选择。如果您使用的插件在 WordPress […]

WordPress网站被黑。如果它发生在你身上，很容易恐慌。在这篇文章中，我将帮助您确定您的网站是否被黑客入侵，指导您完成清理网站的步骤并帮助您提高网站的安全性。 最后，我将为您提供一些提示，以防止您的WordPress网站将来再次被黑客入侵。 WordPress被黑：表明您的WordPress网站存在风险 为什么WordPress网站会被黑客入侵 WordPress如何被黑客入侵？ WordPress网站被黑：怎么办（分步指南） 如何防止您的WordPress网站被黑客入侵 WordPress被黑：表明您的WordPress网站存在风险 您的WordPress网站未按应有的方式运行。但是你怎么知道这个问题是由于黑客攻击造成的？让我们看一下您的网站已被黑客入侵的一些迹象： 您无法登录。 您的网站在您没有做任何事情的情况下发生了变化（例如，主页已被静态页面替换或添加了新内容）。 您的网站正在重定向到另一个网站。 当您或其他用户尝试访问您的网站时，您会在浏览器中收到警告。 当您搜索您的网站时，Google会发出警告，表明它可能已被黑客入侵。 您已收到来自安全插件的违规通知或意外更改通知。 您的托管服务提供商已警告您有关您帐户的异常活动。 让我们更详细地看一下其中的每一个。 您无法登录 如果您无法登录您的网站，则可能表明您的网站已被黑客入侵。但是，您更有可能刚刚忘记了密码。因此，在您假设您已被黑客入侵之前，请尝试重置您的密码。如果你不能，那是一个警告信号。即使可以，您可能仍然被黑客入侵，您必须进行更多调查。 黑客有时会删除用户或更改用户密码以阻止访问。如果您无法重置密码，则您的用户帐户可能已被删除，这是黑客入侵的迹象。 您的网站已更改 黑客的一种形式是用静态页面替换主页。如果您的网站看起来完全不同并且没有使用您的主题，则它可能已被黑客入侵。 这些更改可能更加微妙，可能会添加虚假内容或指向令人讨厌的网站的链接。如果您的页脚充满了您没有添加的链接，特别是如果这些链接被隐藏或字体很小，那么您可能已被黑客入侵。 在您假设您已被黑客入侵之前，请与其他网站管理员或编辑核实，以确保他们没有意外进行更改。 如果您的主题不是来自信誉良好的来源并且您最近更新了它，那可能是罪魁祸首。 您的网站正在重定向 有时，黑客会添加一个脚本，当人们访问您的站点时将其重定向到另一个站点。这可能是您不希望您的用户被带到的网站。 当我管理的一个学校网站重定向到一个约会网站时，这发生在我身上。正如你可以想象的那样，我的客户很不高兴，不得不放弃我正在做的所有其他事情并立即修复它。事实证明，这是服务器上的不安全问题，而不是我的网站上的安全问题，这是只使用优质托管的原因之一。我尽快更换了托管服务提供商并几乎立即修复了这个问题。 浏览器警告 如果您的浏览器警告您的网站已被入侵，则可能表明您的网站已被黑客入侵。这也可能是由于您需要删除的主题或插件中的某些代码，或者是域或SSL的问题。 请参阅浏览器中带有警告的建议，以帮助您诊断问题。 搜索引擎警告 当您搜索您的网站时，如果它被黑客入侵，Google可能会显示警告。这可能意味着站点地图已被黑客入侵，这将影响Google抓取您网站的方式。或者这可能是一个更大的问题：您需要进行下面的诊断以确切了解发生了什么。 谷歌警报 – 该网站可能已被黑客入侵 为什么WordPress网站会被黑客入侵 WordPress网站被黑的原因有很多，但这里是最常见因素的概述。 1. 不安全的密码 这是黑客入侵的最常见原因之一。世界上最常用的密码是“密码”。安全密码不仅适用于您的WordPress管理员帐户，而且适用于您的所有用户和网站的所有方面，包括FTP和托管。 2. 过时的软件 插件和主题，以及WordPress本身，都受到需要应用到您网站的安全更新的约束。如果您不使您的主题、插件和 WordPress 版本保持最新，那么您的网站就会容易受到攻击。 3.不安全的代码 并非来自可靠来源的插件和主题可能会给您的网站带来漏洞。如果您需要免费的WordPress主题或插件，请从官方主题目录安装它们。 购买高级主题和插件时，请务必检查供应商的声誉，并从您信任的人和来源获得推荐。切勿安装无效插件，它们是来自免费网站的高级插件，旨在造成伤害或收集信息。 WordPress如何被黑客入侵？ 如果您想了解更多有关WordPress 网站如何被黑客入侵的信息（如果您自己的网站被黑客入侵，您不会急于采取措施），以下是黑客进入您网站的主要途径： 后门——这些绕过访问您网站的正常方法，例如通过脚本或隐藏文件。一个例子是2013年的Tim Thumb漏洞。 Pharma […]

  由于WordPress广受欢迎，它是世界各地垃圾邮件发送者的热门目标。他们可能只是试图利用您的网站并获得访问权限。或者，他们可能想向您的社区发送垃圾邮件，例如用垃圾邮件主题填满您的论坛。 如果您允许在您的WordPress网站上公开注册，您几乎肯定会遇到某种形式的垃圾邮件注册问题。 在这篇文章中，您将学习如何使用内置的WordPress功能和免费插件来减少垃圾邮件注册。 默认的WordPress注册过程 如何拦截WordPress注册垃圾邮件 默认的WordPress注册过程 在我们讨论策略之前，让我们简要讨论一下默认的WordPress注册过程。 如果您允许在您的站点上公开注册，默认的WordPress注册页面位于https://yoursite.com/wp-login.php?action=register： 默认的WordPress注册表单 如您所见，没有太多可以阻止恶意行为者或机器人创建垃圾邮件注册。 机器人可以通过将相同的公式附加到每个WordPress域直接进入您的注册页面，并且没有什么可以阻止它们填写表单字段。 如何拦截WordPress注册垃圾邮件 您可以使用多种不同的策略来拦截WordPress注册垃圾邮件。根据您网站的需求和问题的严重程度，您可能只需要实施其中一种策略，或者您可能需要尝试多种策略来阻止垃圾邮件。 以下是完整的策略列表： 完全禁用WordPress注册 将验证码添加到您的注册表单 使用专用的WordPress注册垃圾邮件插件 新用户需要管理员批准 拦截恶意IP地址 更改WordPress注册URL 使用自定义WordPress注册表单插件 完全禁用WordPress注册 首先，如果您不需要在您的WordPress网站上公开注册，最好完全禁用注册，而不是试图打击垃圾邮件注册。 即使您需要在您的站点上提供其他用户帐户，这并不一定意味着您需要启用公共注册。例如，如果您只需要少数人拥有自己的帐户，您可以手动为他们创建帐户，而不是让他们自己注册。 要完全禁用WordPress上的用户注册，请转到设置 → 常规并确保未选中任何人都可以注册框： 如何禁用WordPress注册 禁用注册后，任何尝试访问您的默认注册页面的人都会看到以下消息： 禁用注册示例 将验证码添加到您的注册表单 抵御用户注册垃圾邮件的另一种方法是在默认的WordPress注册表单中添加验证码。 您可以使用多种类型的CAPTCHA，但大多数人认为Google的reCAPTCHA服务是对用户最友好的一种（也称为No CAPTCHA reCAPTCHA）。它旨在对大多数合法的人类访问者不可见，同时仍向其确定可能是机器人的访问者显示验证码测试。 要将NoCAPTCHA reCAPTCHA添加到您的WordPress注册表单，您可以使用免费的Advanced noCaptcha & invisible Captcha (v2 & v3)插件。 要设置插件，您首先需要从Google生成一个免费的reCAPTCHA API密钥——只需输入您的网站并选择要使用的reCAPTCHA类型： 生成reCAPTCHA API密钥 然后，您可以进入设置 → Advanced noCaptcha & invisible […]

由于WordPress的流行，它已成为网络攻击的常见目标。事实上，Alexa Top100万的40,000个WordPress网站中有70%容易受到黑客攻击。 被黑网站的一些最常见迹象包括网页被破坏、指向恶意网站的链接、谷歌黑名单警告和白屏死机。如果这些迹象之一出现在您的WordPress网站上，则它可能已被入侵或感染了恶意软件。 一旦您确认您正在运行一个被黑的WordPress网站，请尽快采取适当的措施来恢复它。继续阅读，因为我们将提供从被黑网站手动删除恶意软件的步骤。我们还将介绍一些可供选择的最佳WordPress安全插件。 如何手动删除WordPress恶意软件 步骤 1：准备删除WordPress恶意软件 步骤 2：重新安装WordPress核心文件 步骤 3：比较受感染的和干净的WordPress安装 步骤 4：从上传中清除PHP文件 步骤 5：在文件中查找后门 步骤 6：检查SQL数据库文件 步骤 7：查看每个页面的代码并发布 步骤 8：从URL拦截列表中删除您的网站 最好的WordPress恶意软件删除插件 1. WordFence Security 2. All In One WP Security & Firewall 3. Sucuri Security 购买WordPress恶意软件删除服务 如何手动删除WordPress恶意软件 虽然可以恢复被黑的WordPress网站，但该过程需要在网站维护和托管方面具备良好的技术知识。 如果以下教程对您来说太具有挑战性，我们建议使用WordPress恶意软件清除插件或聘请WordPress恶意软件清除专家。 步骤 1：准备删除WordPress恶意软件 首先，请记住，您可以修复被黑的WordPress网站。虽然恢复它可能需要一些时间和精力，但要知道你可以克服这样的事件。因此，保持冷静并遵循适当的恢复程序非常重要。 在从您的WordPress网站中删除恶意软件之前，请执行以下准备步骤以确保您的数据安全： 1. 限制对网站的访问 如果您的WordPress网站有恶意重定向到阴暗、不安全的网站，那么它很可能已被黑客入侵。如果不加以检查，受感染的WordPress网站可能会提示访问者访问危险网站并泄露他们的个人详细信息。 限制对您的WordPress网站的访问将有助于防止当前感染它的隐藏恶意软件的进一步传播。通过主机控制面板的文件管理器或FTP客户端编辑.htaccess文件来执行此步骤。在本教程中，我们将在宝塔面板的的文件管理器。 这是如何做到的： （1）导航到文件菜单下的文件管理器。 （2）访问/www/wwwroot/yourdomain目录并向下滚动以找到.htaccess文件。如果该文件不存在，请创建一个新的. （3）将此代码段添加到.htaccess文件以阻止除您之外的所有访问： order allow,deny deny […]

WordPress是一个功能强大且流行的内容管理系统 (CMS)。然而，它并非没有缺点。由于应用如此广泛，它也是黑客的常见目标。因此，网站所有者可以从熟悉WordPress安全问题并采取措施预防这些问题中受益。 好消息是您可以采取许多不同的步骤来保护WordPress。无论您是在处理被黑网站还是希望采取预防措施来保护您的网站，都可以使用大量服务、工具和解决方案。 在这篇文章中，我们将为您提供10个最常见的WordPress漏洞列表。我们将讨论每个问题的一些主要原因，然后提供预防这些问题发生的解决方案。 保护WordPress网站的重要性 10个常见的WordPress安全问题和漏洞（以及对应预防措施） 1. 弱密码 2. 恶意软件 3. 跨站脚本（XSS） 4. 过时的软件、插件和主题 5. 分布式拒绝服务 (DDoS) 攻击 6. 结构化查询语言（SQL）注入 7. 搜索引擎优化 (SEO) 垃圾邮件 8. HTTP代替HTTPS 9. 网络钓鱼 10. 低质量托管 WordPress安全常见问题 (FAQ) 保护您的WordPress网站的重要性 WordPress是全球最受欢迎的CMS，为40%以上的网站提供支持。这是一个开源项目，这意味着任何人都可以为其开发做出贡献。 全世界有数百万人使用WordPress。由于其受欢迎程度，CMS成为黑客和恶意用户的主要目标。 安全漏洞可能会危及您网站和访问者数据的安全。如果网络犯罪分子渗入您的网站，可能会导致停机时间延长和私人信息泄露。此事件不仅会损害您的流量和业务，还会对您的品牌声誉造成长期损害。 确保您的网站受到WordPress漏洞的保护可以最大限度地减少您成为攻击受害者的机会。通过掌握安全和执行安全审计，您可以优化站点的性能并保持客户的信任和忠诚度。 10个常见的WordPress安全问题和漏洞（以及如何防止它们） 现在我们了解了更多关于WordPress安全性为何如此重要的信息，让我们来看看您可能遇到的一些问题。以下是10个常见的WordPress漏洞以及如何保护您的网站免受这些漏洞的侵害！ 1.弱密码 网站所有者和用户犯的最大错误之一是使用弱密码。易于猜测的密码使黑客更容易访问您的网站。 例如，最常见的网络攻击之一是蛮力攻击。在这次黑客攻击中，代理和机器人使用不同的密码组合，直到他们能够破解代码并闯入。他们利用您的登录页面来访问您的网站。 这就是为什么确保WordPress网站上的每个用户都使用复杂密码至关重要的原因。我们建议使用密码生成器工具，例如WordPress用户页面内置的工具。 此外，明智的做法是定期更新您的密码。如果您担心忘记密码，可以使用NordPass或LastPass等密码管理器工具。 同样，我们还建议限制登录尝试并启用双因素身份验证 (2FA)。WordPress默认不提供这些功能。但是，您可以使用WordPress登录安全插件（例如Loginizer ）轻松添加它们。 这个免费工具可以通过阻止可疑IP、启用2FA和限制登录尝试来帮助防止暴力攻击。 2. 恶意软件 黑客可以使用恶意软件用恶意代码感染您的网站，从而窃取敏感数据。如果您正在处理被黑网站，您的文件很有可能感染了恶意软件。 恶意软件有不同的变体。影响 WordPress 网站的一些最常见类型包括恶意 重定向、偷渡式 下载和后门攻击。 当涉及到这些类型的安全问题时，最好的做法是预防。但是，即使使用安全协议，您仍然可能成为恶意软件的受害者。 第一步是验证是否存在恶意软件。它可能在您的文件、文件夹和数据库中。您可以使用Wordfence等工具在您的网站上执行恶意软件扫描： […]

蛮力攻击是通过试错法尝试解锁受密码保护的网页的方法。劫机者使用复杂的机器人来猜测登录、注册和其他页面表单上的用户名和密码，并试图接管该网站。机器人不断尝试猜测凭据并在您的服务器上施加大量负载。 因此，即使您不是从安全角度考虑，也必须阻止这些机器人/用户以减少托管服务器上的负载。在本文中，让我们讨论如何防止WordPress中的暴力攻击。 停止WordPress中的蛮力攻击 有不同的方法可以保护您的登录页面并阻止WordPress中的暴力攻击。但是，您需要一个插件来启用这些功能，在本文中，我们将主要使用Jetpack和All In One WP Security and Firewall插件进行说明。 有时您的托管公司可能会为此提供专用插件。例如，您可以在使用SiteGround托管时使用SiteGround安全插件。 1. 使用Jetpack插件进行暴力预防 Jetpack提供了许多模块，“Security”是阻止暴力攻击的模块之一。 转到管理面板中的“Jetpack > Settings”菜单。 当您在“Security”部分时，向下滚动并激活“Protect”模块。 在Jetpack中启用蛮力攻击保护 启用后，Jetpack将自动保护您的站点，而登录表单上没有任何可见的验证码。 此外，您可以单击“Protect”选项并添加IP地址列表以允许访问您的登录页面。该插件仅允许列出的IP地址访问您的WordPress登录页面，所有其他IP将被阻止登录到管理仪表盘。 Jetpack中的白名单IP 2. 使用All in One WP Security & Firewall插件进行暴力预防 Jetpack的暴力预防非常简单，没有太多其他选择。All in One WP Security & Firewall插件是流行且免费的安全插件之一，有助于有效保护您的WordPress网站。从您的WordPress仪表盘安装并激活插件。它将在管理仪表盘的侧边栏上创建一个新菜单“WP Security”。 搜索All in One WP Security & Firewall插件 该插件以积分衡量您网站的安全性，激活各个安全选项将增加积分。为了防止暴力破解，请导航到“WP Security > Brute Force”部分以查看多个选项，如下所示： 蛮力攻击预防选项 在使用任何安全设置进行处理之前，请确保具备以下条件： 使用站点文件和数据库备份整个站点。该插件将创建数据库表并修改.htaccess等站点文件。 确保您可以通过FTP访问您的托管服务器。当您被锁定在管理仪表盘之外并且无法登录时，这是恢复文件所必需的。 仅当该选项适用且您需要时才启用。 […]

WordPress的美妙之处在于您可以随心所欲地深入兔子洞。如果您的技术知识为零，那么您在指尖就能拥有与经验丰富的专业编码员相同的相对能力。虽然有时，当您需要深入研究WordPress的后端以修复权限错误时，它有助于了解您在做什么。 简单来说，如果您的权限错误，您将无法访问某些文件或文件夹。事实上，更正确的说法是服务器不允许任何人访问这些文件。解决方法是深入了解，进行一些更改，然后退出。 在接下来的几分钟内，我们将在WordPress中查看以修复权限错误。更重要的是，我们将为您提供一切所需的一切，让您做好它。 什么是“权限”（以及为什么需要它们） 权限的电梯音调是它们保护您的文件和文件夹免受未经授权的访问。更复杂的是，每个文件和文件夹都有一定的权限级别。如果诸如浏览器之类的客户端试图打开或以其他方式使用该文件，服务器将检查是否具有这样做的正确权限。 如果客户端签出，服务器会将文件ping到浏览器作为HTTP请求的一部分。相反，如果客户端没有正确的权限，你会得到一个错误。 在大多数情况下，您不会遇到权限错误。这是因为系统的工作是将访问权限限制为只允许需要文件或文件夹的人访问。如果您没有文件权限，您的WordPress网站以及您的服务器可能会遇到恶意攻击的真正麻烦。 您需要什么来帮助WordPress修复权限错误 好消息是您不需要很多东西来重新强化WordPress并修复权限错误。事实上，您只需要一个工具：安全文件传输协议 (SFTP) 客户端。市场上有一些这样的，但有三个我们最喜欢。 对于初学者来说，FileZilla是通过SFTP访问您的站点的标准工具，尽管Cyber​​duck具有同样多的可用性和功能： 如果您想要一个还可以为您做很多其他事情的高级SFTP解决方案，Panic’s Transmit是一个很棒的工具： 这可以帮助连接到WordPress并修复权限错误、从云存储中推送和提取数据等等。 无论您选择哪种SFTP工具，在打开网站的引擎盖之前，您还需要检查以下内容是否到位： 对您的服务器的管理访问权限。简而言之，如果您在尝试修复权限错误时遇到权限错误，您将陷入困境！ 了解如何使用SFTP，尽管您在这里不需要高深的技能 – 足以访问您的服务器和编辑文件设置。当然，有很多方法可以在您的WordPress服务器上使用SFTP。 此外，虽然了解文件权限如何与WordPress一起工作很有用，并且会加快修复所需的时间，但现在没有必要。本文将向您展示要更改哪些设置以及如何更改，并且为了修复错误，您不需要知道血腥的细节。 我们还建议您对您的网站进行最新且干净的备份，以防您所做的更改无法按照您的需要进行。如果你“tank”你的网站，你会很高兴有一个新的备份存在。 如何强化WordPress并修复权限错误 当您希望安装主题或插件时，会出现权限错误。因为WordPress无法访问该文件，所以您需要帮助它。 我们将通过四个步骤来做到这一点： 使用SFTP登录您的服务器。 确保文件具有正确的权限。 查看您的文件夹是否也具有正确的权限。 检查一堆特定文件是否具有唯一权限集。 好消息是您可以使用前几个步骤中的指导来执行其余步骤。另外，请注意，我们在这些步骤中使用Cyber​​duck，但每个SFTP客户端都有自己的方法来修改文件权限。如果您使用与我们不同的东西，请查看您的文档以了解确切的功能。 首先，您需要进入您的服务器。 1. 通过SFTP访问您的服务器 您的第一步是登录您的服务器。为此，您需要您的SFTP凭据。通常，您可以在主机控制面板中找到这些： 您也可以在托管公司的电子邮件中找到它们，因此也可以在您的收件箱中搜索这些登录详细信息。 一旦你有了它们，启动你的SFTP客户端，并寻找打开一个新连接的选项——它可能在你的客户端中被称为不同的东西： 从这里，使用您的凭据填充字段。不过，如果您可以选择，请确保您使用的是显式SFTP连接。一些工具没有相同数量的潜在连接，并且可能默认为SFTP。不过，请仔细检查您是否能够： 登录后，您将进入您的主目录。这将包含您的所有站点，您的下一个任务是选择正确的WordPress站点并修复其中的权限。 站点本身可以​​有多种名称—— public_html、root、www或站点名称。找到您的站点后，双击进入该文件夹。里面是你所有的WordPress核心文件。从这里，您需要选择文件和文件夹，并设置正确的权限。 2.为文件设置正确的文件权限 一旦您可以访问站点的根目录，您就可以开始设置正确的权限。在我们向您展示如何操作之前，让我们先来看看文件权限的世界。 文件权限设置快速入门 权限包含三个部分：读取、写入和执行。反过来，这些让WordPress从文件中获取数据，向其中添加数据，并对其运行其他操作。 显示每个文件的权限的传统方式是通过一组三位数字。每个数字代表显式用户组（所有者、组或其他用户）的特定操作（读取、写入或执行）。 我们将使用这些三位代码提及文件权限，大多数SFTP客户端也会向您展示它们的含义。这意味着您可以选择使用其中一种方法，同时引用另一种方法。 选择您的文件和更改权限 准备好后，选择服务器中的每个文件，并确保取消选择文件夹。从这里，您需要查找您的文件权限设置。在Cyber​​duck中，您可以右键单击并转到信息屏幕，但在FileZilla中，您可以选择文件权限。无论如何，这将弹出一个包含三位数字和一组复选框的框： 您的大多数WordPress文件都应该具有644权限。将其键入框中后，还单击选项以递归应用更改。同样，它可能会在您选择的客户中说出不同的内容。 单击以确认后，这是一项不碍事的任务。接下来是处理您的文件夹。 3.为文件夹设置正确的权限 要设置文件夹的文件权限，请使用与上一步相同的过程。这一次，您将文件替换为文件夹。 首先，选择根目录中的每个文件夹，然后打开文件夹权限设置。这一次，您要755用作权限。再次确认您的更改，这就是几乎完成的任务。 4.确保某些特定文件具有唯一权限 在结束之前，一些WordPress和服务器文件的权限与其他文件不同。具有不同权限设置的主要WordPress文件是wp-config.php。因为这是一个重要文件，所以您要确保它几乎是只读的。不过应该有一些许可元素，所以按照前面的步骤，将权限更改为440. 这意味着没有人可以写入或执行该文件。不过，您可能会遇到一些服务器和/或插件设置的问题。如果是这种情况，请开始打开文件，直到您不再看到任何错误。首先尝试444，然后600，下一步640，如果解决了问题，请644使用。 […]