WordPress

WordPress是开箱即用的出色，非常安全的平台，当然我们也可以做更多的事情，加强保护您的网站免受恶意入侵。这些安全增强的许多功能都易于实现，但其他的一些则需要安装特定的插件来实现。 在教程中，我们将介绍10种不同的策略来增强WordPress堡垒的防御能力。但是首先，让我们深入探讨网站安全的重要性。 保护WordPress网站至关重要 虽然有很多开源的CMS可用，但我们还是特别推荐WordPress作为你的平台。WordPress不仅是搭建网站的灵活，强大的平台，而且开箱即用也非常安全。这是因为WordPress开发人员关心安全性，并致力于尽可能“强化”核心平台。另外，他们经常发布针对安全性的更新和补丁，这些更新和补丁将自动下载并安装在您的站点上。这意味着您的WordPress网站将具备良好的能力来应对任何新出现的威胁。 当然，没有平台100％安全。黑客们尝试各种可能性，试图找到进入受保护程度最高的网站的方式。而且由于超过30％的网站使用WordPress，自然而然成为黑客最受欢迎的目标之一。 如果恶意软件入侵了您的网站，则可能会造成很大的损失。 例如，他们可以窃取或以其他方式破坏敏感信息，安装恶意软件，根据自己的需要对网站进行更改，甚至完全关闭。这对您和您的用户都是有害的，如果您正在开展业务，则可能意味着客户和收入的损失。 我们应该采取一些步骤来保护WordPress网站，有许多简单，快速的方法可以提高站点的安全性，也可以采用的一些更复杂的技术。 有效保护WordPress网站的10种方法 下面我们将介绍10种策略，以帮助您提升网站安全性并减少遭受破坏的机会。另外，也会为您指出正确的方向，以开始使用每种技术。您不必实施此列表中的所有建议-但为保护站点而采取的步骤越多，遇到灾难的机会就越小。 1.使用优质主机 您可以将您的虚拟主机视为网站在Internet上的街道-这是您的网站“生存”的地方。 就像一个好的学区对您孩子的未来很重要，您网站的基础质量在很多方面都非常重要。 可靠的托管服务提供商会影响您网站的性能，可靠性，可扩展性，甚至在搜索引擎中的排名。最好的主机提供许多有用的功能，出色的支持以及针对您所选平台的量身定制的服务。 虚拟主机也可能对您网站的安全性产生重大影响。选择可靠的托管服务有很多安全好处，包括： 优质的主机将不断更新其服务，软件和工具，以响应最新的威胁并消除潜在的安全漏洞。 Web主机通常提供各种针对性的安全功能，例如SSL / TLS证书和DDoS保护。您还应该访问Web应用程序防火墙（WAF），这将有助于监视和阻止对您的站点的严重威胁。 您的虚拟主机很可能会提供一种备份网站的方法（在某些情况下，甚至是为您执行），因此，如果您遭到黑客攻击，则可以轻松地恢复到稳定的先前版本。 如果您的主机提供可靠的24/7全天候支持，则在遇到安全相关问题时，总会有人为您提供帮助。 此列表应该为您为新站点寻找主机时提供一个良好的起点，即使您正在考虑更改主机。您将要找到一个可以提供所需所有功能的应用程序，并在可靠性和出色的性能方面享有盛誉。 国外的Linode或者Vultr也是我们强烈推荐的服务器托管商；国内我们则首推阿里云、腾讯云等国内顶级云服务器托管商。 2.将站点切换到HTTPS 我们应该将站点切换到安全的超文本传输​​协议（HTTPS），这是HTTP的更安全的版本。这些是重要的安全概念，需要理解，但即使您以前从未听说过，也很容易掌握。HTTP是在您的网站和任何尝试访问它的浏览器之间传输数据的协议。当访问者单击您的主页时，您的所有内容，媒体和网站代码都会通过此协议发送到访问者的位置。 当然这是必要的，但确实会引入一些潜在的安全问题。恶意人员可能会尝试在传输过程中拦截数据，并将其用于自己的恶意目的。HTTPS解决了这个问题！它的作用与HTTP相同，但是它还在从一个点到另一个点的传输过程中对站点的数据进行加密，因此无法轻松访问它。 最初，HTTPS主要用于处理敏感客户信息（例如信用卡详细信息）的站点。但是，它在所有站点上都变得越来越普遍，并且诸如WordPress和Google之类的大人物一直在推动其广泛实施。 要将网站切换到HTTPS，首先需要SSL/TLS证书。这会向浏览器传达您的网站是合法的，并且其数据已正确加密。您还可以从某些网站（例如Let’s Encrypt）免费获得一个。 参考阅读：免费SSL证书申请及配置教程 3.创建安全登录凭证 这是一个“不设防，Sherlock”的建议，但伙计们， 仔细选择您的登录凭据非常重要。喜欢真的，真的很重要！ 为什么？这使得黑客很难进入您的站点。您可能有丰富的经验，为网络上的其他帐户选择强大的用户名和密码-对WordPress网站进行相同的操作很重要。 创建网站时，您可以自主创建登录用户名和密码。用户名将默认为admin，尽管您可以更改（如果需要），也可以更改。但是由于人们可以通过多种方式来了解您的WordPress用户名，因此如果需要，可以坚持使用默认选项。 但是，您的密码至关重要，并且您需要选择一个安全的密码。最近，在如何选择强密码方面出现了一些转变，建议使用一个简单的四字词组，胜过由随机字母，数字和符号组成的经典组合。这种方法已经在某些圈子中流行了一段时间。 如果所有选择密码的话题您都不感兴趣，则建议您使用WordPress自带的密码生成器，因为它会直接在WordPress后端直接生成一个相当复杂的密码（我表示难以接受）。如此复杂的密码，你应该确保将您的凭据记录存放在安全的地方（例如加密的密码管理器），这样您就不会忘记。 如果您已经创建了站点并最初选择了不理想的登录凭据，则仍然可以更改它们。您可以通过以下方式更改用户名：创建一个新用户，为该用户分配管理员角色，并将所有内容归于该用户，然后删除原始帐户。 至于密码，您只需从WordPress管理控制台转到“用户”>“所有用户”，单击您的用户名，然后在“编辑用户”屏幕上输入新密码即可。 4.启用Web应用程序防火墙 您可能对防火墙的概念很熟悉，它是一个有助于阻止各种有害攻击的程序。最有可能的是，您的计算机上装有某种防火墙。Web应用防火墙（WAF）是专门为网站设计的防火墙。它可以保护服务器，特定网站或整个网站组。WordPress网站上的WAF将成为您的网站与网络其余部分之间的障碍。防火墙监视传入的活动，检测攻击，恶意软件和其他有害事件，并阻止任何它认为有风险的事件。 5.实施二步认证身份验证 还有另外一种技术解决方案：二步认证身份验证（也可以通过两步身份验证以及各种其他相似的名称进行）。该术语指的是登录到站点时需要遵循的两步过程。这将可能导致登录比较麻烦，但是在阻止黑客入侵方面有了多重的保障。二步身份验证涉及使用智能手机或其他设备来验证您的登录信息。首先，您将访问WordPress网站，并照常输入您的用户名和密码。然后，唯一的代码将发送到您的移动设备，您需要提供该代码才能完成登录。这使您能够通过显示自己有权访问某些内容（例如特定的手机或平板电脑）来证明自己的身份。 与许多WordPress功能一样，使用专用插件可以轻松添加二步身份验证。二步身份验证是一个不错的选择—它由可靠的开发人员创建，与Google Authenticator兼容，可让您轻松地将此功能添加到您的网站。 另一个选择是Two-Factor插件，该插件以其可靠性而闻名，主要由核心WordPress开发人员构建。与此类别中的任何插件，学习曲线有点陡峭，但它非常安全的。如果您愿意花钱，也可以查看Jetpack的Clef-like高级解决方案。 无论您选择哪种路线，请务必与团队提前计划（如果相关），因为您需要收集他们的电话号码和其他信息才能上手。这样，您的登录页面就已安全并可以使用了。 6.留心添加新的插件和主题（并经常更新） 现成的主题和插件是使用WordPress最好的东西之一。使用这些方便的工具，可以帮助你快速搭建网站，并添加您可以想到的几乎所有功能。 但是，并非所有的插件和主题都是可靠的。 不小心或经验不足的开发人员可能会创建不可靠或不安全的插件。他们可能会使用不良的编码实践，从而使黑客可以轻易利用或不知不觉地干扰关键功能。这一切都意味着您需要非常谨慎地选择要添加到站点中的主题和插件。每个人都应该经过审查，以确保它是一个可靠的选择，不会导致网站或引起问题。有许多要素需要牢记，但是以下建议将帮助您选择高质量的工具： 检查用户的评分和评论，以了解其他人是否对相关插件或主题有很好的体验。 查看插件或主题的最新更新。如果已经超过六个月，那么它可能就没有那么安全了。 一次安装一个新的插件和主题，因此，如果出现任何问题，您将知道原因所在。另外，在添加任何内容之前，请务必备份您的网站。 从值得信赖的资源中获取插件和主题，例如WordPress.org主题和插件市场，ThemeForest和CodeCanyon以及可靠的开发人员网站。 最后，将所需的插件和主题安装到网站后，你的工作应该持续进行。 […]

一些技术人员认为，从网站的源代码中删除WordPress版本号可以防止一些常见的在线攻击。其实只要你及时将WordPress更新至最新版本，完全无需顾虑。 在本教程中，我们将说明如何以正确的方式删除WordPress 版本号。 为什么要删除WordPress版本号？ 默认情况下，WordPress会在您的网站上留下足迹以进行跟踪。这就是我们知道WordPress是世界上顶级网站建设者的方式。 但是，如果您没有运行最新版本的WordPress，有时版本信息可能是您网站上的安全漏洞。网站正在运行的WordPress版本可能为黑客提供有用的信息。 我们建议您在所有网站上使用最新版本的WordPress，这样您就不必担心这一点。但是，如果由于某种原因您运行的是旧版本的WordPress，那么您绝对应该遵循本教程。 删除您在网站上使用的WordPress版本的所有痕迹是非常困难的。复杂的攻击可能仍然能够找到该信息。 但是，它会阻止自动扫描仪和其他不太复杂的尝试猜测您的WordPress版本。 下面，让我们来看看如何删除WordPress版本号。 方法 1. 使用Sucuri删除WordPress版本号 这种方法更简单，推荐给所有用户。 一些WordPress安全插件都在设置中提供了一个选项来隐藏您的WordPress版本号。 Sucuri便是其中一个，安装激活它，会自动隐藏WordPress版本信息并提供其他更高级的安全功能。 只需安装并启用Sucuri插件后，插件将自动隐藏WordPress版本信息。您可以通过访问Sucuri Security » Settings并切换到Hardening选项卡来验证，是否已正常隐藏WP版本号。 方法 2. 手动删除WordPress版本信息 此方法需要向WordPress网站添加代码。 网上其中一个办法就是编辑主题的 header.php 文件并删除以下代码行： <meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” /> 此方法不起作用，因为新主题更新会自动用新文件替换旧模板。 另一种普遍推荐但效率低下的方法是将此代码放在主题的functions.php 或特定于站点的插件中： remove_action(‘wp_head’, ‘wp_generator’); 这只会从WordPress标头中删除信息。版本号仍将显示在您网站的RSS Feeds中。 删除WordPress版本信息的正确方法是禁用负责显示它的功能。 要从头文件和 RSS Feeds中完全删除WordPress版本号，需要将以下代码添加到特定于站点的插件或代码片段插件中。 function wpbeginner_remove_version() { return ”; } add_filter(‘the_generator’, ‘wpbeginner_remove_version’); 通过添加此代码，即可从WordPress RSS Feeds和网站的头部部分中删除WordPress版本号。 […]

在本教程中，我们将解释为什么对您的站点执行定期备份如此重要。然后，我们将解释备份站点的三种策略，并讨论每种策略的好处和用途。 您可能已经在您的网站上投入了大量精力，如果它发生了什么事情，结果可能是毁灭性的。黑客可能会将您锁定在您的网站之外，数据文件可能会损坏，或者您甚至可能会意外删除您的网站——更糟糕的是，结果可能是永久性的。 维护定期备份可以使您免于陷入这种境地。有几种不同的方法可以备份您的WordPress网站——最重要的是，它们都可以帮助防止您宝贵的网站文件和数据库丢失。 备份WordPress网站的重要性 让我们从基础开始。一个网站的备份仅仅是您网站的所有文件和数据库的副本。备份用于恢复因黑客攻击或损坏的文件而受损的站点，或被故意或意外删除的站点。 您应该多久备份一次网站取决于您的细分市场和规模。如果您有一个经常更改的站点，例如高流量博客或电子商务站点，您可能需要每天执行备份。主要是静态内容的网站通常没有那么频繁的备份。 强烈建议您进行多次备份并将它们保存在不同的位置。正如您的站点可能会受到损害或丢失一样，您的备份也可能被破坏或删除。拥有多个备份有助于确保您始终拥有最新的当前备份，即使另一个备份不可用。 如何备份WordPress 有几种不同的方法可以备份WordPress网站。每个都有其优点和缺点，并且可以派上用场。最好的方法取决于您，但了解所有这三个方法是明智的。让我们来看看！ 1.手动备份WordPress 手动备份WordPress站点是最困难的方法，但有时是必要的。如果您由于错误或安全问题而被锁定在WordPress仪表盘之外并且需要进行备份，这可能是唯一的方法。 这有两个阶段：备份文件和备份数据库。首先，您需要您的安全文件传输协议 (SFTP) 凭据。您通常会在您的主机帐户的后端找到它们。如果您找不到它们，只需联系您的主机 – 他们将能够为您清除它们。 获得SFTP凭据后，您将需要下载并启动合适的客户端，例如FileZilla。这个选项非常好，因为它是免费的、开源的并且易于使用。 打开后，在指定区域输入您的凭据。 与服务器建立连接后，您将需要一个目标文件夹来进行备份。通过在左上角象限内右键单击，选择创建目录并为其命名，您可以在不离开FileZilla的情况下快速创建一个。 接下来，您将从您的服务器（位于右上角的象限中）拖动WordPress文件，并将它们放到您的目标文件夹中。下载可能需要一段时间——咖啡时间！— 但一旦完成，您的站点文件的备份就会保存到您的计算机上。 但是，您仍然需要备份WordPress数据库。为此，您需要使用phpMyAdmin工具，您可以在主机后端找到该工具。登录后，从侧边栏中选择您的WordPress数据库。 接下来，导航到屏幕顶部的“Export（导出）”选项卡。选择快速导出方法，单击开始，并在出现提示时下载文件。同样，下载可能需要一些时间，并将您的数据库备份保存到您的计算机。 2. 安装WordPress插件来运行自动备份 使用插件比手动备份 WordPress 更容易、更快。一些插件，例如UpdraftPlus，使您能够安排自动备份，为您提供急需的顶空！ 要实施此备份方法，您首先必须安装并启用您选择的插件。从这里，您将能够安排备份，确定插件应将它们保存在何处，并选择要备份的文件。 UpdraftPlus使您能够将备份保存在本地或云中。这是将备份保存在多个位置作为额外预防措施的好方法。 但是，使用插件的一个缺点是很难监控是否正在创建备份。当然，每隔一段时间手动备份您的站点会对此有所帮助，因为您将能够轻松查看备份是否正确完成。但是，有一种方法可以提供两全其美的方法。 注：除上述的UpdraftPlus之外，另外一个插件BackWPup也是个不错的选择。 3. 通过服务器提供商或者第三方服务器管理软件备份 一些托管服务提供商，比如阿里云，提供备份功能。您访问、安排、保存和恢复备份的方式因提供商而异。也可以通过安装第三方服务器管理软件来管理备份，比如宝塔。 下面以宝塔Linux面板为例，你可以登陆服务器的宝塔面板，点击左侧菜单“计划任务”： 任务类型-选择备份网站或者备份数据库（都应该添加一个任务）； 任务名称-可以网站域名+备份内容命名，如yourdomain.com网站备份（数据库备份）； 执行周期-根据自身实际情况选择周或者月备份，数据库一般可以选择周备份；网站则可以考虑月备份（尽可能选择凌晨执行备份任务）； 备份网站-即选择你需要备份哪个网站； 排除规则-仅备份网站可以设置，即你可以选择忽略部分文件或者目录，不进行备份。   自动备份通常是一种“一劳永逸”的设置。但是，为了提高安全性，您可能仍希望保存多个备份。值得记住的是，如果您的站点存在服务器问题，并且备份与您的站点存储在同一台服务器上（“禁止”），您可能会遇到麻烦。 关于WordPress备份资料 我们在此前已经提及不少关于WordPress网站备份的相关内容，如果你对WordPress备份需要作深入了解，建议阅读以下内容： 如何安全备份WordPress博客网站数据？ 14个最佳WordPress数据库插件[WP数据库备份、优化及迁移] 使用BackWPup插件备份WordPress教程 如何使用WordPress导出工具备份文章/页面和多媒体 结论 您的网站对您很重要，因此保护它免受外部威胁、简单的人为错误或其他因素的影响至关重要。定期备份您的 WordPress 网站将确保您有办法在最坏的情况发生时恢复您的网站。

许多人听到黑客这个词，就会想到有人穿着连帽衫坐在黑暗的地下室里，在命令行中输入代码，通过突破防火墙来瞄准网站，并像躲避安全机器人一样躲避安全机器人，直到网站被破碎并从互联网上删除。但事实并非如此。事实上，黑客通常是恶意软件，它被发现某种漏洞的机器人狡猾地插入到您网站的服务器中。除此之外，如果您的网站被黑客入侵，您很可能甚至都不知道。但我们在这里帮助确保您知道如何使用WordPress恶意软件扫描来清理它。 如何植入隐藏恶意软件？ 黑客可以通过多种方式访问​​您的网站。最常见的一种被称为蛮力攻击，僵尸网络会尝试各种用户名/密码组合，直到成功并让它们进入。一旦他们可以访问您的站点，他们就可以为所欲为并安装任何恶意代码。 它可能是从您下载到本地计算机的文件中安装的，该文件中包含的恶意软件已进入您的服务器。您甚至可能（当然是无意中）点击了一个网络钓鱼链接或被一个受感染的网站重定向到一个看似合法的网站。 甚至还有整个机器人网络在互联网上搜索具有特定漏洞的WordPress网站。像过旧版本插件、具有特定未修补漏洞的主题、运行旧版本PHP的服务器等。 在您的网站上隐藏恶意软件可能意味着您采取了导致其安装的操作，但并非总是如此。这些事情在某个时候会发生在我们所有人身上，我们希望您在发生这种情况时不要太自责。因为虽然这绝对不是一件好事，但如果您遵循正确的步骤，它是可以解决的。我们现在将带您完成。 1. 选择反恶意软件保护插件 无论您是否认为自己的网站上隐藏着恶意软件，第一步都是选择反恶意软件。对于WordPress用户，两个首选是WordFence和Sucuri。这两种方法都经过试验、测试和信任，可以保护WordPress网站。除了更高级的高级版本之外，它们都提供数万用户信任的一流免费版本。 你也不会出错。但是对于本文，我们将使用WordFence作为示例。 此外，您可以选择一些外部URL检查器，例如VirusTotal。 这些类型的服务通过各种数据库运行您的 URL 和公共文件。这些索引 URL 并指示它们是否已被标记为已泄露或可疑。如果您没有恢复干净，WordFence 或 Sucuri 可以通过以下步骤帮助您修复它。 2. 如何扫描网站是否有恶意软件 无论外部网站怎么说，您都希望使用WordPress插件运行恶意软件扫描，以便它可以深入您的文件系统。就像我们之前说的，我们将在这个例子中使用WordFence。您可以从WordPress.org插件库下载并安装它。 您看到的标准WordFence仪表盘非常有用，它显示在WP管理面板的WordFence – Dashboard下。您可以查看截至该时间点的保护摘要、扫描次数、最近一次扫描中的问题数量等。 当您进入WordFence – Scan时，您会看到大量数据。但是一旦你知道你在看什么，它就很容易消化。 当您按下Start New Scan (2)按钮时，WordFence会按照各种条件的进度条 (3)工作。（我们说进度条是因为它按此顺序检查。）扫描后，您会在Results Found (4) 选项卡中看到详细的结果日志，以及您可以在右侧(5)采取的操作。 3. 如何处理恶意软件扫描结果 一旦您看到您的结果，就该解析它们并对其采取行动了。但即使在此之前，你也必须知道它在说什么。 如果您看到带有红点的标记为High Priority (6) 的消息 ，则需要尽快查看。特别是如果您看到它说WordPress core中有一个 未知文件。这是个坏消息。幸运的是，WordFence允许您通过单击按钮Delete All Deletable Files(5)删除所有可删除文件 。 但是，您应该始终在执行此操作之前备份您的WordPress网站，以确保您没有删除任何必要的内容。WordFence甚至会提醒您这样做。 完成后，您可以按Delete Files让WordFence处理它们。此时，您的站点应该没有隐藏的恶意软件。如果您想更深入地检查，请使用Sucuri进行扫描，看看它是否能找到WordFence遗漏的任何内容。此外，您可以订阅两者的高级版本以获得更深入的扫描。 受恶意软件感染的文件消失了。因此，您只需处理不太紧迫且最有可能与非恶意软件相关的问题。（尽管它们以自己的方式同样重要）。 在这种情况下，WordPress版本已过时 (9)。WordFence对此发出警告，因为过时的WP版本可能包含尚未修补的严重安全问题。如果您已经过时，那么您就是恶意软件的老大。此外，WordFence会告诉您插件和主题版本已过时(10)。出于完全相同的原因。 请注意，WP核心更新标记为高优先级。插件更新为中等。这是因为就WordPress网站黑客而言，他们背后的人更有可能针对每个人使用的软件的核心。相比之下，没有一个插件或主题只有少数人使用。不过，它确实发生了，所以值得关注。 4. 找到隐藏的恶意软件后怎么办 在您的网站上发现恶意软件很痛苦。这对您以及您的客户和客户来说都是可怕的。在您清理网站并清除恶意软件并赶走黑客后，您可以按照几个简单的步骤来加强防御。 更改所有密码。您可能不知道恶意软件是如何到达那里的。但是您的管理员和用户密码有可能以某种方式被泄露。所以你需要全部改变它们。使用这个插件来做它，它会在他们注册的电子邮件中通知每个人。 启用双因素身份验证 […]

谈到WordPress安全性，您可以采取很多措施来锁定您的网站，以防止黑客和漏洞影响您的电子商务网站或博客。您最不想发生的事情是一天早上醒来发现您的网站一团糟。因此，今天我们将分享许多技巧、策略和技术，您可以使用这些技巧、策略和技术来提高WordPress安全性并保持受保护。 WordPress安全吗？ 您可能想知道的第一个问题是WordPress安全吗？多半是对的。然而，WordPress通常会因为容易出现安全漏洞并且本质上不是用于企业的安全平台而受到批评。这通常是由于用户一直遵循经过行业验证的安全最差做法。 使用过时的WordPress软件、无效的插件、糟糕的系统管理、凭据管理以及非技术人员WordPress用户缺乏必要的Web和安全知识，使黑客能够控制他们的网络犯罪游戏。即使是行业领导者也不总是使用最佳实践。路透社被黑是因为他们使用的是过时的WordPress版本。 从根本上说，安全并不是完全安全的系统。这样的事情很可能是不切实际的，或者不可能找到和/或维护。然而，安全是降低风险，而不是消除风险。这是关于在合理范围内使用所有可用的适当控件，使您可以改善整体姿势，从而降低使自己成为目标并随后被黑客入侵的可能性。– WordPress安全法典 现在，这并不是说漏洞不存在。根据多平台安全公司Sucuri 2017年第三季度的一项研究， WordPress继续领先于他们工作的受感染网站（83%）。 这一比例高于2016年的74%。 WordPress安全漏洞 WordPress为Internet上超过43.0%的网站提供支持，并且拥有数十万个主题和插件组合，因此存在漏洞并不断被发现也就不足为奇了。但是，围绕WordPress平台也有一个很棒的社区，以确保这些东西尽快得到修补。截至2022年，WordPress安全团队由大约50名（高于2017年的25名）专家组成，其中包括首席开发人员和安全研究人员——大约一半是Automattic的员工，还有一些人在网络安全领域工作。 WordPress漏洞 在下面查看一些不同类型的WordPress安全漏洞。 Backdoors（后门） Pharma Hacks Brute-force Login Attempts（暴力登录尝试） Malicious Redirects（恶意重定向） Cross-site Scripting (XSS，跨站脚本) Denial of Service Backdoors（后门） 这个名副其实的后门漏洞为黑客提供了绕过安全加密的隐藏通道，以通过异常方法（ wp-Admin、SFTP 、FTP等）访问WordPress网站。一旦被利用，后门使黑客能够通过跨站点污染对托管服务器造成严重破坏攻击——危害托管在同一服务器上的多个站点。在2017年第三季度， Sucuri报告说，后门仍然是攻击者采取的众多黑客攻击后行动之一，71%的受感染网站具有某种形式的后门注入。 恶意软件家族分布 后门通常被加密以看起来像合法的WordPress系统文件，并通过利用平台过时版本中的弱点和错误进入WordPress数据库。TimThumb惨败是利用黑幕脚本和过时软件危害数百万网站的后门漏洞的典型例子。 幸运的是，这个漏洞的预防和治疗相当简单。您可以使用SiteCheck等工具扫描您的WordPress网站，  该工具可以轻松检测常见的后门程序。双重身份验证、阻止IP、限制管理员访问和防止未经授权执行PHP文件很容易解决常见的后门威胁，我们将在下面详细介绍。Canton Becker 也有一篇关于清理WordPress安装上的后门混乱的好文章。 Pharma Hack Pharma Hack漏洞用于在过时版本的WordPress网站和插件中插入恶意代码，导致搜索引擎在搜索受感染网站时返回药品广告。与传统的恶意软件相比，该漏洞更像是垃圾邮件威胁，但让搜索引擎有足够的理由阻止该网站以散布垃圾邮件的指控。 Pharma Hack的移动部分包括插件和数据库中的后门，可以按照Sucuri博客中的说明进行清理。然而，这些漏洞利用通常是隐藏在数据库中的加密恶意注入的恶意变种，需要彻底的清理过程来修复漏洞。不过，您可以使用推荐的WordPress托管服务提供商和最新的服务器并定期更新您的WordPress安装、主题和插件，从而轻松防止Pharma Hacks。 Brute-force Login Attempts（暴力登录尝试） 蛮力登录尝试使用自动化脚本来利用弱密码并获得对您网站的访问权限。两步验证、限制登录尝试、监控未经授权的登录、阻止IP和使用强密码是防止暴力攻击的一些最简单和高效的方法。但不幸的是，许多WordPress网站所有者未能执行这些安全措施，而黑客很容易在一天内使用暴力攻击破坏多达30,000个网站。 Malicious Redirects（恶意重定向） 恶意重定向使用FTP、SFTP、wp-admin和其他协议在WordPress安装中创建后门，并将重定向代码注入网站。重定向通常以编码形式放置在您的 .htaccess文件和其他WordPress核心文件中，将网络流量引导至恶意站点。我们将在下面的WordPress安全步骤中介绍一些可以防止这些问题的方法。 跨站脚本 (XSS) 跨站点脚本 […]

当您的WordPress网站很小时，很容易密切关注其中发生的一切。然而，随着它的规模和复杂性的增长，它可能变得越来越难以跟上。如果您允许用户在您的站点上注册、运行会员站点或有多个贡献者，则尤其如此。 无论如何，始终了解您网站上发生的事情至关重要。您可以通过跟踪用户活动来做到这一点，例如内容更改、个人资料更新、登录失败等。当您触手可及此类信息时，您可以快速追踪任何问题的根源并保持严密的安全性。 在这篇文章中，我们将简要讨论您为什么要跟踪您的WordPress网站的活动。然后，我们将帮助您找出最需要关注的活动类型。 为什么使用WordPress活动日志至关重要 活动日志可以帮助您密切关注网站的重要更改。 如果你的网站只有一个用户——你——应该不会有什么意外。除非您的WordPress网站已被黑客入侵（稍后我们将详细讨论），否则您将进行所有更改和更新。 WordPress跟踪用户活动 但是，许多站点允许注册的用户不止一个。例如，您可能会鼓励您的访问者注册订阅者帐户。或者，您可能有一个由作家、开发人员、编辑和第三方承包商组成的整个团队来帮助您创建和管理内容。 无论哪种方式，有这么多人访问您的网站都会导致很多不确定性。找出谁删除了帖子，或者弄清用户资料被更改的原因并不总是那么容易。如果您担心某个特定更改是恶意的，或者您只是想知道它发生的原因，那么您可能没有一个好的方法来继续。 这就是为什么在您的WordPress网站上跟踪活动如此重要的原因。拥有每个重大更改的活动日志，以及有关更改发生时间和涉及哪些用户的详细信息，可以更轻松地处理意外事件。即使您是您网站上的唯一用户，这种类型的日志也可以帮助您追踪由于成功的黑客攻击而导致的更改来源。 当然，您不能手动维护活动日志。幸运的是，您可以使用WordPress活动日志插件来自动处理这项工作。您需要做的就是在需要日志包含的信息时查看日志。 WP Security Audit Log 市场上最好的插件之一是WP Security Audit Log。您可以在WordPress插件库上下载免费版本。在撰写本文时，它拥有超过70,000次活跃安装。它还由开发人员定期积极更新。 WP Security Audit Log插件 还有一个高级版本（起价为每年 89 美元），它为您提供报告、即时电子邮件警报和搜索等附加功能。但是所有的日志记录功能都是完全免费的。 配置WP Security Audit Log 我们在这篇文章中使用了免费版本的WP Security Audit Log。安装后激活后首先看到的是配置向导。 步骤1 单击“Start Configuring the Plugin”开始。 配置WP Security Audit Log插件 步骤2 选择“Basic”或“Geek”。 Basic：如果您只需要基本的日志记录数据，请选择此选项。 Geek：如果您想要插件必须提供的所有数据，请选择此选项。 您可以在以后随时更改这些设置，但对于此示例，我们将使用“Geek”选项向您展示更多WP Security Audit Log插件。 WP Security Audit Log插件Geek设置 […]

较低的WordPress上传限制可阻止您上传大文件，插件和主题。如果您要建立一个拥有大量多媒体资源的网站，那这将是一个很大的障碍。在这种情况下，有必要增加WordPress或服务器（或两者）中的最大上传大小。 也经常在WordPress交流群里看到站长咨询关于WordPress上传文件大小限制的问题，因此，我们有必要针对WordPress上传大小限制话题撰写一篇文章，以解众惑。 根据不同的服务器托管提供商和服务器，有很多方法可以解决此问题。我们将在本教程中尽可能全面地介绍设置WordPress最大上传大小限制。 WordPress最大上传限制是多少？ 如何检查WordPress当前最大上传限制 为什么要增加WordPress最大上传限制？ 增加WordPress最大上传限制的10种方法 不要编辑 “wp-config.php” 文件 验证WordPress网站新的最大上传限制 WordPress最大上传限制是多少？ 将大文件上传到服务器会消耗大量服务器资源。为了防止用户因上传文件造成服务器超时，WordPress默认的最大上传大小通常为4 MB到128 MB。通常，服务器托管提供商或者服务器软件在服务器级别设置此限制。 WordPress还包含定义此限制的常量，但在大多数情况下它们不能覆盖服务器级别的设置。 服务器默认最大上传文件大小，不同的服务器提供商有不同的设置，一般不会超过128MB。 要验证这一点，请转到WordPress网站的“媒体库”。在这里，尝试上传超出此最大上传文件大小限制的文件。您会看到一条类似以下内容的错误消息： 在WordPress中上传大文件时出错 “超过了站点的最大上传限制”主要有两个原因：安全性和效率。这会阻止站点所有者和其他用户（包括恶意行为者）上传大文件（例如，高分辨率图像，大视频）。 否则，可能导致网站服务器无法使用，从而使网站无法正常运行。更糟糕的是，它可能会使网站彻底瘫痪！ 如何检查WordPress当前的最大上传限制 有很多方法可以检查您的WordPress网站当前的最大上传限制，具体如下。 在媒体库中 检查网站当前最大上传限制的最便捷的方法是转到WordPress仪表盘，然后从此处转到媒体>媒体库。点击添加新文件按钮以启用媒体上传工具。 WordPress最大上传文件大小 国外部分服务器托管站点时，最大上传文件大小消息将显示在“选择文件”按钮下方。如果您使用其他网络托管服务提供商，则可能会在此处看到其他限制。 您也可以直接转到媒体>添加新内容，并在底部看到相同的消息。 WordPress媒体库中的“最大上传文件大小” 同样，您可以在此处看到最大128 MB的上传文件大小。 在站点健康信息中 WordPress 5.2添加了Site Health Info工具，以帮助您更好地调试WordPress网站。在这里，您几乎可以找到有关服务器和WordPress配置的所有信息。 由于服务器和WordPress都设置最大上传文件大小，在此界面上有两种方法可以找到最大上传文件大小值。 首先，您可以在“媒体处理”下拉列表中找到“最大单一上传文件大小”的值。 “站点健康”信息面板中的媒体处理设置 第二种方法是在“服务器”下拉列表可以看到与您的网站服务器设置相关的信息。找到“上传最大文件大小”的对应值，即你的WordPress的最大上传限制。下面截图的演示站点的最大上传文件大小限制为128 MB。 “站点健康”信息面板中的服务器设置 您还可以查看其他PHP常量及其值，例如： PHP post max size：定义POST请求的最大上传限制。 PHP memory limit：定义为PHP分配的内存。应将其设置为等于或大于最大上传限制。否则，上传将失败。 一般情况下配置越低的虚拟主机，这些选项所设置的值越小。这也是为什么小编常常建议站长尽可能选购VPS作为WordPress网站的服务器，因为允许站长自行配置这些选项的值。 为什么增加WordPress最大上传限制？ 有许多原因可能导致您需要增加WordPress网站的最大上传文件大小，最常见的原因有： 通过WordPress管理仪表盘安装大型主题或插件。 定期更新WordPress网站内容以保持读者参与度并获得更多回报。这包括定期上传新图像，视频，音频和其他媒体。但是，当您的上传文件有大小限制时，这并不总是可行的。 […]

您是否试图找出文件和文件夹的正确WordPress权限？还是您首先对WordPress权限的整个概念感到困惑？ WordPress文件权限对您网站的安全和运行至关重要，因此您必须了解它们。如果您使用的是WordPress托管，您的主机几乎可以肯定已经为您配置了一些东西，但是如果您遇到任何问题，理解这些概念仍然很有帮助。 因此，无论您从未听说过文件权限，或者您只是在为WordPress寻找正确的文件权限，我们都会在这篇文章中为您介绍。如果您已经熟悉文件权限，可以单击第二个链接直接跳转到WordPress的最佳文件权限。 什么是文件权限？ WordPress的正确文件权限 如何快速检查WordPress文件权限 如何编辑WordPress文件权限 Tips：这篇文章100%专注于WordPress文件权限以及如何使用它们来保护您的网站。如果您对控制WordPress用户权限更感兴趣，请查看我们的WordPress用户角色和权限文章。 什么是文件权限？ 简而言之，文件权限控制不同用户如何与您的WordPress站点服务器上的文件进行交互。更具体地说，文件权限控制谁可以读取、写入和执行文件： 读取：读取文件内容的能力。 写入：更改文件的能力。 执行： “使用”文件的能力（例如执行脚本）。 什么是用户？ 用户分为三种不同的“类型”： 所有者：文件或目录的指定所有者。 组：拥有文件或直接拥有文件的组的成员。 公共：除文件所有者或组成员之外的所有用户。 每个文件或文件夹都归特定用户或特定组所有。每个用户可以是多个组的成员，但他们只能拥有一个主要组。 例如，当您通过SFTP连接到您的站点时，您正在使用服务器上的用户帐户，并且该用户帐户属于一个或多个组，具体取决于您的服务器的配置方式。 注意：大多数人不需要掌握“用户”的概念，因为您的主机会为您配置所有这些。但是，了解了解文件权限的功能至关重要。如果您在本节中感到有些迷茫，请知道在大多数情况下，您的主机已经为您的服务器环境适当地设置了用户。 通过文件权限，您可以控制每种类型的用户（所有者、组、公共）可以对服务器上的文件和文件夹执行的操作（读取、写入、执行）。 一般来说，文件的所有者应该拥有最多的权限；属于同一组的用户将拥有相同或更少的权限；公共用户将拥有与组相同或更少的权限： 所有者 > 组 > 公共 文件权限的概念与WordPress角色和权限系统非常相似。如果您是网站的管理员，那么您拥有的控制权比编辑者更多。例如，管理员可以安装新插件，但编辑器不能。 同样，编辑器比您网站的匿名访问者拥有更多的控制权，即使编辑器没有完全管理员的权力。例如，编辑器可以编辑其他人的博客文章并发布新的博客文章，但编辑器不能安装新插件。 文件权限中的数字是什么意思？ 文件权限由称为权限模式的三位数字表示（例如777、440）。 数字中的每个数字对应于特定用户可以执行的操作： 第一个数字：控制所有者可以做什么。 第二位数字：控制用户组中的用户帐户可以做什么。 第三个数字：控制其他人可以做什么（公共）。 权限模式中的每个数字都是分配给每个操作的数字的总和： 读取： 4 写入： 2 执行： 1 如果您不想授予任何权限，请使用数字0。 同样，您在权限模式中看到的数字是实体拥有的所有权限的总和。例如，如果所有者可以读取(4) 和写入(2)，则权限模式将为6 (4+2)。 或者，如果所有者拥有所有三个权限，则为7 (4+2+1)。 因此，777是最宽松的配置。代表着： 第一个数字 – 7 – 所有者可以读取(4)、写入(2) 和执行(1) 第二个数字 – 7 – […]

备份您的网站不容忽视。在许多情况下，备份您的WordPress网站可以省去很多麻烦。例如，如果您遇到导致站点中断或更新影响其功能的错误，您将能够回滚已保存的版本。 恢复WordPress备份可以为您节省数小时的故障排除时间。另外，拥有一个意味着您可以复制您的网站或将其移至新主机。我们甚至会说，如果您没有最近的备份，则应将其添加到待办事项列表的顶部。 在本文中，我们将准确地向您展示如何做到这一点。我们将讨论您需要备份WordPress网站的哪些部分，并向您展示三种方法，包括手动方法、使用插件及通过您的主机上的功能进行WordPress备份。 WordPress网站备份简介 何时备份您的WordPress网站 如何备份WordPress网站（3种方法） WordPress网站备份简介 WordPress网站不仅仅是一个简单的文件集合，您可以将这些文件从一个位置复制并粘贴到另一个位置。如果您问自己，“我需要复制哪些文件来进行WordPress站点备份？” 然后知道你的问题有两个部分的答案： 存在于WordPress根目录中的所有文件 您的WordPress数据库 WordPress根目录是您设置为您的网站提供支持的WordPress副本的文件夹。您应该通过文件传输协议 (FTP)或安全外壳访问 (SSH)连接到您的服务器， 然后找到名为root、public或public_html的文件夹来访问该目录。 在某些情况下，该目录还可以包含您网站的名称： 访问您的WordPress网站的根目录 根目录包含从主题到插件和媒体文件的所有内容。它的一些文件包括您的网站如何与其服务器交互的规则、您添加到主题和插件中的新功能等等。 简而言之，该目录包含使WordPress工作的所有文件。但是，您实际网站的内容驻留在唯一的数据库中。您在下面看到的每个表都存储了WordPress站点的数据： 一个WordPress数据库及其表 备份数据库涉及导出所有这些表（通常为SQL格式）。然后您导入该文件的内容，您的数据库软件将覆盖现有值。 如果这还没有多大意义，请不要担心。我们将在以下部分之一中向您展示如何手动备份WordPress网站。如果您不喜欢弄乱数据库或手动复制文件的想法，请使用备份WordPress站点插件。 本质上，WordPress备份插件会创建站点文件及其数据库的副本（一起或单独）。然后这些插件使您能够选择要“恢复”的备份文件。这意味着用备份文件中的文件和数据库表覆盖现有文件和数据库表。 如果您使用信誉良好的网络主机，它可能还提供自动站点备份。此功能意味着您不必担心手动创建备份或使用插件，因为您的网络主机会为您完成。它还应该将这些备份存储一段时间以备不时之需。 何时备份您的WordPress网站 简短的回答是您应该始终对您的网站进行最近的备份。想象一下今天遇到了一个破坏站点的错误，却不知道如何解决它。 如果你有一个一天或更短的备份，你可能会没事的。但是，如果它是一周前的，它可能不包括您网站的一些最新更新。一个多月，它可能会丢失您在此期间所做的重要更改。 问问自己，在不对网站产生负面影响的情况下，您认为可能会丢失多少最近的数据。如果您运行静态站点，偶尔备份应该没问题。但是，对于论坛、在线商店、博客和大多数大型网站，一致的备份是必要的： 最近的网站备份列表 如果您四处寻找网络托管服务，您会注意到其中许多将每日备份作为重要卖点。如果您选择WordPress托管，您应该至少收到每日备份。 这似乎有点矫枉过正，但如果它能让您避免丢失一次关键数据，那么增加的价格肯定是值得的——这通常可以忽略不计。许多WordPress插件还使您能够安排备份，如果您使用不包含备份功能的预算共享主机作为交易的一部分，这可以派上用场。 这给我们带来了手动备份WordPress的显着缺点：您无法自动化该过程。对于如此重要​​的事情，我们建议采用简化的方法，以最大程度地减少某人忘记备份甚至错误丢失一些文件的机会。 最后一个警告是，在对其进行重大更改、将其移动到新主机或更改站点的域之前，您应该始终备份整个站点。如果您曾经问​​过自己，“如何在更新之前备份我的 WordPress 网站？” 然后继续阅读以下部分以找到最适合您的方法。 如何备份WordPress网站（3种方法） 既然我们已经介绍了备份网站的重要性，现在是时候探索如何去做了。让我们看看如何使用四种方法备份WordPress网站。 1. 如何手动备份WordPress网站 正如我们之前提到的，备份WordPress网站涉及复制其所有文件并导出其数据库的内容。您可以使用FileZilla等文件传输协议 (FTP) 客户端执行这两项任务中的第一项。 您的网络主机应为您提供一组凭据，您可以使用这些凭据通过FTP或在我们的示例中为SFTP连接到您的网站。 使用这些凭据，您将能够连接到您的服务器并找到您的WordPress根目录。在许多情况下，该目录称为public 。要开始，请继续复制或下载整个文件夹： 下载WordPress根目录 下载可能需要一段时间，因为大多数WordPress网站都包含数百或数千个文件。备份完成后，我们建议您将该文件夹重命名为备份日期，然后将其存储在安全位置。它可以让您将整个WordPress网站（包括所有媒体）保存在您的PC或云存储解决方案中。 这就回答了“如何使用FTP 备份我的WordPress网站？”这个问题。— 这给我们留下了您的数据库。备份该元素的最简单方法是转到您的主机控制面板并查找您的数据库管理软件。 您需要进入您网站对应的数据的phpMyAdmin，它将启动数据库管理器。从左侧菜单中选择您网站的数据库，您应该会看到如下表的列表： phpMyAdmin中的WordPress数据库表 接下来，在屏幕顶部的菜单中选择Export。phpMyAdmin会询问您要使用哪种导出方法。Quick选项将自动将您站点的所有表包含在SQL文件中，这正是我们想要的。 确保在Format下选择SQL ，然后单击Go： 从phpMyAdmin导出您网站的表格 您的数据库文件应立即下载。而已！ 在这个阶段，您拥有WordPress根目录及其数据库的副本。您可以将站点目录和数据库SQL文件压缩在一起，以备不时之需。 […]

如果安装一个名为Limit Login Attempts的插件。在某些情况下，如果您多次输入错误的密码，“限制登录尝试”也可能会将您锁定。在本文中，我们将向您展示如何在WordPress中解锁限制登录尝试插件。 FTP或文件管理器方法 对于初学者来说，最简单的解决方案是使用FTP删除Limit Login Attempts插件，然后在您可以登录后重新安装它。 您需要通过FTP登录到您的站点，然后转到/wp-content/plugins/。到达那里后，您只需删除limit-login-attempts插件文件夹即可。 您也可以使用您的网络主机的cPanel文件管理器执行此操作。 只需浏览到/wp-content/plugins/并删除limit-login-attempts文件夹。 MySQL查询 对于熟悉MySQL和phpMyAdmin的高级用户，您可以轻松运行以下SQL查询，它将清除所有锁定。 UPDATE wp_options SET option_value = ” WHERE option_name = ‘limit_login_lockouts’ LIMIT 1; 如果您想解锁您的特定 IP，例如 111.222.111.222，请运行如下查询： UPDATE wp_options SET option_value = REPLACE(option_value, ‘111.222.111.222’, ”) WHERE option_name = ‘limit_login_lockouts’ LIMIT 1; 如果您更改了数据库前缀，请确保更新您的IP地址以及数据库表前缀。 我们希望本教程能帮助您解除WordPress限制登录尝试锁定。

黑客可能会使用蛮力攻击来尝试猜测您的管理员密码。如果您限制他们可以尝试登录的次数，那么您会大大降低他们成功的机会。 在本文中，我们将向您展示如何以及为何应限制WordPress网站登录尝试次数。 为什么要限制WordPress登录尝试次数？ 蛮力攻击是一种使用反复试验来入侵您的WordPress网站的方法。 最常见的蛮力攻击类型是密码猜测。黑客使用自动化软件不断猜测您的登录信息，以便他们可以访问您的网站。 默认情况下，WordPress允许用户根据需要多次输入密码。黑客可能会尝试通过使用输入不同组合的脚本来利用此漏洞，直到他们猜到正确的登录名。 您可以通过限制每个用户的失败登录尝试次数来防止暴力攻击。例如，您可以在5次登录尝试失败后暂时锁定用户。 不幸的是，一些用户在多次错误地输入密码后发现自己被锁定在自己的WordPress网站之外。如果您发现自己处于这种情况，那么您应该按照我们指南中有关如何取消WordPress限制登录尝试的步骤进行操作。 话虽如此，让我们来看看如何限制您的WordPress网站上的登录尝试。 如何限制WordPress登录尝试次数 您需要做的第一件事是安装并启用Limit Login Attempts Reloaded插件。 免费版本是本教程所需的全部内容。启用插件后，您应该访问Settings » Limit Login Attempts页面，然后单击顶部的Settings选项卡。 默认设置适用于大多数网站，但我们将引导您了解如何为您的网站自定义插件设置。 为了遵守GDPR法律，您可以单击“GDPR compliance”复选框以在登录页面上显示一条消息。 接下来，您将选择是否在有人被锁定时收到通知。如果您愿意，您可以更改发送通知的电子邮件地址。默认情况下，您将在用户第三次被锁定时收到通知。 之后，您应该向下滚动到“Local App”部分，您可以在其中定义可以进行多少次登录尝试以及用户必须等待多长时间才能再次尝试。 首先，您需要定义可以进行多少次登录尝试。之后，选择用户在超过失败尝试次数时必须等待的分钟数。默认值为20分钟。 您还可以在用户被锁定指定次数后增加等待时间。例如，默认设置将不允许用户在被锁定4次后24小时内尝试登录。 出于安全原因，建议您不要更改“Trusted IP Origins”设置。 不要忘记单击屏幕底部的“Save Settings”按钮来存储您的更改。 关于如何保护WordPress网站的专业提示 限制登录尝试只是保持 WordPress 网站安全的一种方法。 您的WordPress网站的第一层保护是您的密码。您应该始终在WordPress网站上使用强密码。 强密码可能难以记住，但您可以使用密码管理器来轻松记住。 如果您的WordPress登录页面仍然受到攻击，那么您可以添加的另一层保护是Google reCAPTCHA for WordPress login 。这将进一步有助于减少DDoS攻击。 没有网站是100%安全的，因为黑客总能找到绕过系统的新方法。这就是为什么始终保持WordPress网站的完整备份至关重要的原因。我们建议使用UpdraftPlus或其他流行的WordPress备份插件。 如果您的网站是一家企业，那么我们强烈建议您添加防火墙来处理暴力攻击等等。我们使用Sucuri来保证我们的安全，如果我们的网站发生任何问题，他们的团队有责任免费修复它。 有关更多安全提示，请务必查看我们的WordPress安全检查清单。 我们希望本教程能帮助您了解如何限制WordPress登录尝试次数，以防有心之人搞破坏！

无论您有多精通技术或使用WordPress多久；总有一天会出现可怕的错误。有时是用户错误，有时是由于插件漏洞而被黑客入侵。如果您不知道如何修复它，或者认为这可能需要很多时间，那么解决问题的最快捷、最简单的方法是从备份中恢复WordPress。毕竟，这就是您有备份的原因，或者您应该这样做。 在本指南中，我们将介绍如何使用六种不同的方法从备份中恢复WordPress。使用某些选项，您可以在几分钟内恢复运行。 了解WordPress备份的工作原理 从宝塔面板备份中还原WordPress 设置宝塔自动备份计划任务 使用插件从备份中恢复WordPress 使用phpMyAdmin恢复WordPress数据库备份 使用cPanel恢复WordPress数据库备份 从仪表盘或使用SFTP手动恢复WordPress文件 了解WordPress备份的工作原理 在我们深入研究如何从备份中恢复WordPress之前，首先了解它们的工作原理很重要。标准的WordPress备份包含您网站的文件和MySQL数据库。但是WordPress备份可能会因用于备份的内容而异。 WordPress备份插件 如果您使用的是WordPress备份插件，通常他们会给您选择只保留您的/wp-content/uploads/和数据库（有时还有您的主题和插件文件夹）以节省磁盘空间。数据库包含您的所有数据，而uploads文件夹包含您无法通过其他方式恢复的重要文件，例如媒体库中的图像。 主题和插件通常可以轻松重新安装。但是，大多数备份插件都可以让您选择做所有事情或仅限于节省空间。 如果您使用的是支持增量备份的备份插件（这是我们推荐的），它将首先进行整个站点备份，然后仅在您的站点上存储更改。这大大减少了磁盘空间使用量，并且性能更好，因为它不会在重复的计划中一次敲打您的服务器。 使用WordPress主机的一键式还原点 如果您有托管服务提供商的WordPress备份，这些备份通常更像是您网站的快照。你可以把它想象成Mac上的Time Machine。大多数托管的WordPress主机让您一键恢复到某个时间点。这是迄今为止最简单、最方便的方法！ 当然国内很多云服务器提供商都提供备份技术支持服务，比如阿里云，百度云、腾讯云及华为云都提供类似的快照、克隆或者镜像支持，可以实现一键还原。 注：如果你使用了单独的云数据库，你还需要为云数据库启用自动备份任务，才可以实现一键还原。 从宝塔面板备份中还原WordPress 您可以直接在“宝塔”面板中轻松恢复您的WordPress站点。只需按照以下步骤操作即可。 需要清楚地知道宝塔面板不会自动备份网站文件及数据库，这跟大厂的备份一样，都需要你先启用备份计划，才会有备份数据。此外，宝塔面板的备份与云服务器提供商提供的一键备份还原有质的区别。 像阿里云的每个备份都是创建备份时此环境的文件、数据库、重定向和Nginx配置的完整快照。当您恢复备份时，对网站文件、数据库、重定向和Nginx配置的所有更改都将回滚到创建备份的时间。 但宝塔面板备份的仅是网站文件及数据库，不会对整个服务器进行备份及还原。 第1步 首先，登录宝塔面板。转到左侧的“网站”，然后单击您需要为其恢复备份的WordPress站点的备份列下方的“备份入口”，或者直接访问/www/backup/site。 WordPress网站备份 第2步 将备份的数据压缩包解压并覆盖现有的网站目录，你也可以直接删除现有的网站数据，使用备份的数据直接替代旧数据。至此，即可恢复网站的文件数据。下面你，还需要恢复数据库。 第3步 要“恢复”数据库，你需要进入宝塔面板的“数据库”，选择你需要恢复数据库的网站对应数据库行，点击备份下方的导入： WordPress数据库备份恢复 选择最新的数据库备份文件，点击导入即可恢复网站数据库 WordPress数据库备份恢复 注：宝塔面板的网站文件及数据库备份恢复依赖宝塔面板的计划任务，或者你的手动备份。我们将会在下一个章节讲到。 设置宝塔自动备份计划任务 在宝塔面板，您可以为您的WordPress网站文件及数据库设置备份计划任务，以便于您日后需要，快速将网站恢复至此前的状态。 您可以通过宝塔面板的“计划任务”设置自动备份计划任务。 宝塔计划任务 要设置网站备份，您只需要在任务类型处选择“备份网站”，然后设置任务名称、执行周期及选择备份网站、对应的备份路径，点击添加任务即可。 宝塔网站备份任务 要设置网站数据库备份，设置类似网站备份，不同的是任务类型及需选择对应网站的数据库，最后点击添加任务。 宝塔数据库备份任务 使用插件从备份中恢复WordPress 接下来，我们将向您展示如何使用插件从备份中恢复 WordPress。我们只推荐使用支持增量备份的备份。 增量网站备份是指系统仅在站点文件和数据库表发生更改时创建备份。这样做的原因是为了提高您的站点性能并避免服务器上出现数十个不必要的备份文件。因此，最好是您的备份插件扫描最新的文件并在没有任何更改的情况下跳过下一个备份。 以下是我们推荐的四个备份插件： WP Time Capsule VaultPress ManageWP BlogVault […]

寻找一种密码保护WordPress的方法？有很多不同的方法可以为您的网站添加密码保护，包括密码保护您的整个WordPress网站、仅保护特定内容，甚至仅保护其他公开内容的一部分。 其中一些解决方案需要使用插件，而其他解决方案则使用您可以在服务器级别进行的核心WordPress功能或配置。 在这篇文章中，我们将尝试涵盖尽可能多的不同方法。总的来说，您将学习： 如何使用密码保护您的整个WordPress网站 如何使用密码保护目录 如何使用密码保护文章、页面和WooCommerce产品 如何使用密码保护某个类别的WordPress文章 如何密码保护WordPress文章的一部分 您可以单击上面的任何链接直接跳转到特定方法，或者您可以通读以了解如何使用密码保护您的WordPress网站的所有方法。 如何使用密码保护您的整个WordPress网站 如果你想用密码保护你的整个 WordPress 网站，你有两个主要选择： 一个插件 服务器级别的HTTP身份验证 在这两者中，插件方法对于面向用户的站点来说肯定更加用户友好和更好，而HTTP身份验证是密码保护WordPress登台站点或其他类型的非面向用户站点的有效方法。 如何使用插件对WordPress网站进行密码保护 为了对您的整个WordPress网站进行密码保护，我们推荐Ben Huson提供的免费密码保护插件，该插件在WordPress.org上获得了很高的评价和可用。 安装并激活插件后，您可以转到“设置”→“Password Protected”来配置插件的设置。 选中Password Protected Status框以启用密码保护并在New Password框中输入所需的密码。 该插件的另一个好处是它还为您提供了将某些类型的用户/请求以及IP地址列入白名单的选项。如果需要，您可以配置这些： 如何使用密码保护您的整个WordPress网站 激活它后，任何尝试访问您网站的人都需要在精简版的WordPress登录页面中输入密码： 全站密码表格 如果您想将登录页面徽标从通用WordPress徽标更改，您可以使用免费的Login Logo插件。 如何使用HTTP身份验证对WordPress网站进行密码保护 通过基本的HTTP身份验证（又名htpasswd保护），您可以在人们加载您的网站之前添加额外的密码保护层，这就是为什么它是WordPress登台或开发网站的绝佳选择。 您可以参考教程为您的WordPress网站启用htpasswd保护。 启用后，您的WordPress网站将需要身份验证才能访问它。您可以随时更改凭据或在不再需要时将其禁用。 .htpasswd身份验证提示 如何使用密码保护目录 需要密码保护您网站上的目录？也许您有一个位于WordPress安装之外的文件夹，您不希望公众访问该文件夹。 apache 要手动设置，您首先需要创建一个 .htpasswd文件。您可以使用这个方便的生成器工具。然后将文件上传到您要保护的目录。 www/user/public/protecteddirectory 然后用下面的代码创建一个.htaccess文件，上传到你要保护的目录的路径下。确保更新目录路径和用户名。 AuthType Basic AuthName “restricted area” AuthUserFile /www/user/public/protecteddirectory.htpasswd require valid-user Nginx 如果您正在运行Nginx，您还可以使用HTTP基本身份验证来限制访问。看看这个教程。 如果您使用具有cPanel的提供商进行托管，您可以使用位于“Files”部分下的“Directory Privacy”工具设置受密码保护的目录。 […]

没有人喜欢花不必要的钱——这是人之常情。即使是世界上最富有的人之一，沃伦巴菲特，仍然会搜索他购买的汽车的折扣（好吧，也许这是一个极端的例子——你明白了）。 因为人们总是在寻找降低成本的方法，一些WordPress用户倾向于转向无效的WordPress主题和插件，而不是为官方高级版本付费。 在这篇文章中，我们将告诉您为什么使用无效的WordPress插件和主题是一个坏主意……即使它不一定违反任何法律。 什么被认为是空插件和主题？ 当涉及到术语无效时，网络上有各种定义。正如我们定义的那样，它指的是高级 WordPress 插件或主题已被黑客入侵或包含旨在造成伤害或收集信息的修改代码。这些是从第三方网站（不是原始作者或创建者）获得的，有时无需许可证密钥即可工作。 无效的WordPress插件和主题不一定是非法的 让我们从房间里的大象开始…… 如果您使用无效的WordPress插件或主题，FBI不太可能会敲门。这是因为，与人们通常“盗版”的其他内容（例如音乐、电影）相比，无效的WordPress插件和主题通常不会违反法律。 这里的原因与GPL（通用公共许可证）有关。如果不将此作为版权课程，您只需要知道GPL许可允许的部分内容是任何人都可以自由分发GPL许可软件（是的——甚至是高级GPL许可软件）。 因此，如果一个无效的插件站点将一个GPL许可软件供下载，从技术上讲，他们并没有违法，因为他们有权自由分发该GPL代码。 GPL是WordPress的重要组成部分，大多数（但不一定是全部）WordPress主题和插件都使用 GPL。这部分是因为主题和插件必须符合GPL才能在WordPress.org目录中列出。 虽然高级插件不需要GPL许可证，但许多插件在WordPress插件库上也有免费增值版本，然后需要GPL许可证。或者他们选择拥有GPL许可证。许多高级插件，如WP Rocket和Gravity Forms都是GPL许可的。 还有其他原因——比如能够在插件和主题中使用现有的GPL许可代码。通常，如果您在产品中使用现有的GPL许可代码，则必须在GPL下发布后续产品（这就是2017年WordPress和Wix之间争吵的原因）。 GPL很复杂，我们过度简化了一些原则，以将核心思想浓缩成几段。但基本上——你看到的大多数无效的WordPress插件和主题可能没有做任何违法的事情。事实上，GPL是WordPress出色的原因之一。 但这并不意味着你应该出去把你的网站装满无效的扩展…… 您仍然不应该使用无效的WordPress扩展的四个原因（即使它们是合法的） 仅仅因为无效的扩展是合法的，这并不意味着在您的WordPress网站上使用它们是一个好主意。 以下是您仍然不应在您的网站上使用无效插件或主题的四个原因。 你不知道代码中还有什么 开发人员需要资金来继续改进他们的产品 您不会从开发人员那里获得任何支持 您不会获得任何自动更新 1.你不知道代码中还有什么 当您从开发人员以外的来源（或受信任的插件库，如WordPress.org）下载扩展程序时，您不知道代码中还隐藏着什么。 恶意行为者喜欢使用无效的插件或主题来插入他们自己讨厌的有效载荷，例如为SEO注入链接，甚至更险恶的行为。 当您使用空扩展时，您将自己暴露在这种类型的漏洞中，因为除非您有知识和时间来挖掘所有代码，否则您不知道空扩展中还隐藏着什么。 除此之外，您可能会取消主机的任何潜在帮助。例如，服务器提供商提供免费的黑客修复保证，但如果您的WordPress网站由于无效插件或主题中的后门而被黑客入侵，则此保证不适用。 这不是一个普遍的问题，因为您可以找到提供清洁产品的合法GPL俱乐部（通常按月收费）。但是，即使您为提供免费下载恶意代码的GPL俱乐部付费，这些扩展不是一个好主意还有其他重要原因。你怎么知道哪个GPL俱乐部可以信任？ 付费GPL俱乐部的示例 这就是为什么我们通常将从第三方网站获得的插件称为无效的。如果您不是从原作者那里获得它，那么假设它可能已经修改、不安全的代码，甚至是病毒，这样会更安全。您可以使用像VirusTotal这样的在线工具来扫描插件或主题的文件，以查看它是否检测到任何类型的恶意软件。 Virus Total 2. 开发人员需要资金来继续改进他们的产品 虽然大多数开发人员确实喜欢创建WordPress产品，但他们中的大多数人也喜欢吃东西并负担得起。 也就是说，WordPress开发人员需要收入才能证明他们花在维护和改进产品上的时间是合理的。 当您使用无效的扩展程序时，您将剥夺他们可以用来进一步增强其插件的收入。 基本上，你是在自取其辱！ 如果每个人都使用无效版本，Elementor页面构建器团队是否能够继续推出新功能，例如主题构建？如果没有钱进来，OceanWP主题会拥有所有这些很棒的附加组件吗？ 不！当然不是。 如果您不遗余力地寻找插件或主题的无效版本，这可能意味着您认为它是您网站的宝贵补充。 因此，即使您认为开发人员为构建您的产品所付出的所有辛勤工作不值得支付，您为什么要剥夺自己在未来获得更好产品的机会？ 基本上，你应该帮助开发人员把食物摆在桌面上，这样他们就可以继续创造让你的生活更轻松的很棒的东西。 3. 你不会得到开发者的任何支持 无效的扩展可以让您获得高级插件或主题的所有功能，但它们永远无法让您获得付费客户获得的所有好处。 这是因为您使用GPL许可软件所支付的很大一部分费用是来自开发人员的支持。 当您为产品付款时，如果您遇到任何产品问题，您可以选择直接与开发人员联系。 另一方面，使用无效的扩展名，您将获得零支持。碰钉子？希望谷歌有所帮助！因为这几乎是你唯一的选择。如果您使用的插件在 WordPress […]

WordPress网站被黑。如果它发生在你身上，很容易恐慌。在这篇文章中，我将帮助您确定您的网站是否被黑客入侵，指导您完成清理网站的步骤并帮助您提高网站的安全性。 最后，我将为您提供一些提示，以防止您的WordPress网站将来再次被黑客入侵。 WordPress被黑：表明您的WordPress网站存在风险 为什么WordPress网站会被黑客入侵 WordPress如何被黑客入侵？ WordPress网站被黑：怎么办（分步指南） 如何防止您的WordPress网站被黑客入侵 WordPress被黑：表明您的WordPress网站存在风险 您的WordPress网站未按应有的方式运行。但是你怎么知道这个问题是由于黑客攻击造成的？让我们看一下您的网站已被黑客入侵的一些迹象： 您无法登录。 您的网站在您没有做任何事情的情况下发生了变化（例如，主页已被静态页面替换或添加了新内容）。 您的网站正在重定向到另一个网站。 当您或其他用户尝试访问您的网站时，您会在浏览器中收到警告。 当您搜索您的网站时，Google会发出警告，表明它可能已被黑客入侵。 您已收到来自安全插件的违规通知或意外更改通知。 您的托管服务提供商已警告您有关您帐户的异常活动。 让我们更详细地看一下其中的每一个。 您无法登录 如果您无法登录您的网站，则可能表明您的网站已被黑客入侵。但是，您更有可能刚刚忘记了密码。因此，在您假设您已被黑客入侵之前，请尝试重置您的密码。如果你不能，那是一个警告信号。即使可以，您可能仍然被黑客入侵，您必须进行更多调查。 黑客有时会删除用户或更改用户密码以阻止访问。如果您无法重置密码，则您的用户帐户可能已被删除，这是黑客入侵的迹象。 您的网站已更改 黑客的一种形式是用静态页面替换主页。如果您的网站看起来完全不同并且没有使用您的主题，则它可能已被黑客入侵。 这些更改可能更加微妙，可能会添加虚假内容或指向令人讨厌的网站的链接。如果您的页脚充满了您没有添加的链接，特别是如果这些链接被隐藏或字体很小，那么您可能已被黑客入侵。 在您假设您已被黑客入侵之前，请与其他网站管理员或编辑核实，以确保他们没有意外进行更改。 如果您的主题不是来自信誉良好的来源并且您最近更新了它，那可能是罪魁祸首。 您的网站正在重定向 有时，黑客会添加一个脚本，当人们访问您的站点时将其重定向到另一个站点。这可能是您不希望您的用户被带到的网站。 当我管理的一个学校网站重定向到一个约会网站时，这发生在我身上。正如你可以想象的那样，我的客户很不高兴，不得不放弃我正在做的所有其他事情并立即修复它。事实证明，这是服务器上的不安全问题，而不是我的网站上的安全问题，这是只使用优质托管的原因之一。我尽快更换了托管服务提供商并几乎立即修复了这个问题。 浏览器警告 如果您的浏览器警告您的网站已被入侵，则可能表明您的网站已被黑客入侵。这也可能是由于您需要删除的主题或插件中的某些代码，或者是域或SSL的问题。 请参阅浏览器中带有警告的建议，以帮助您诊断问题。 搜索引擎警告 当您搜索您的网站时，如果它被黑客入侵，Google可能会显示警告。这可能意味着站点地图已被黑客入侵，这将影响Google抓取您网站的方式。或者这可能是一个更大的问题：您需要进行下面的诊断以确切了解发生了什么。 谷歌警报 – 该网站可能已被黑客入侵 为什么WordPress网站会被黑客入侵 WordPress网站被黑的原因有很多，但这里是最常见因素的概述。 1. 不安全的密码 这是黑客入侵的最常见原因之一。世界上最常用的密码是“密码”。安全密码不仅适用于您的WordPress管理员帐户，而且适用于您的所有用户和网站的所有方面，包括FTP和托管。 2. 过时的软件 插件和主题，以及WordPress本身，都受到需要应用到您网站的安全更新的约束。如果您不使您的主题、插件和 WordPress 版本保持最新，那么您的网站就会容易受到攻击。 3.不安全的代码 并非来自可靠来源的插件和主题可能会给您的网站带来漏洞。如果您需要免费的WordPress主题或插件，请从官方主题目录安装它们。 购买高级主题和插件时，请务必检查供应商的声誉，并从您信任的人和来源获得推荐。切勿安装无效插件，它们是来自免费网站的高级插件，旨在造成伤害或收集信息。 WordPress如何被黑客入侵？ 如果您想了解更多有关WordPress 网站如何被黑客入侵的信息（如果您自己的网站被黑客入侵，您不会急于采取措施），以下是黑客进入您网站的主要途径： 后门——这些绕过访问您网站的正常方法，例如通过脚本或隐藏文件。一个例子是2013年的Tim Thumb漏洞。 Pharma […]

  由于WordPress广受欢迎，它是世界各地垃圾邮件发送者的热门目标。他们可能只是试图利用您的网站并获得访问权限。或者，他们可能想向您的社区发送垃圾邮件，例如用垃圾邮件主题填满您的论坛。 如果您允许在您的WordPress网站上公开注册，您几乎肯定会遇到某种形式的垃圾邮件注册问题。 在这篇文章中，您将学习如何使用内置的WordPress功能和免费插件来减少垃圾邮件注册。 默认的WordPress注册过程 如何拦截WordPress注册垃圾邮件 默认的WordPress注册过程 在我们讨论策略之前，让我们简要讨论一下默认的WordPress注册过程。 如果您允许在您的站点上公开注册，默认的WordPress注册页面位于https://yoursite.com/wp-login.php?action=register： 默认的WordPress注册表单 如您所见，没有太多可以阻止恶意行为者或机器人创建垃圾邮件注册。 机器人可以通过将相同的公式附加到每个WordPress域直接进入您的注册页面，并且没有什么可以阻止它们填写表单字段。 如何拦截WordPress注册垃圾邮件 您可以使用多种不同的策略来拦截WordPress注册垃圾邮件。根据您网站的需求和问题的严重程度，您可能只需要实施其中一种策略，或者您可能需要尝试多种策略来阻止垃圾邮件。 以下是完整的策略列表： 完全禁用WordPress注册 将验证码添加到您的注册表单 使用专用的WordPress注册垃圾邮件插件 新用户需要管理员批准 拦截恶意IP地址 更改WordPress注册URL 使用自定义WordPress注册表单插件 完全禁用WordPress注册 首先，如果您不需要在您的WordPress网站上公开注册，最好完全禁用注册，而不是试图打击垃圾邮件注册。 即使您需要在您的站点上提供其他用户帐户，这并不一定意味着您需要启用公共注册。例如，如果您只需要少数人拥有自己的帐户，您可以手动为他们创建帐户，而不是让他们自己注册。 要完全禁用WordPress上的用户注册，请转到设置 → 常规并确保未选中任何人都可以注册框： 如何禁用WordPress注册 禁用注册后，任何尝试访问您的默认注册页面的人都会看到以下消息： 禁用注册示例 将验证码添加到您的注册表单 抵御用户注册垃圾邮件的另一种方法是在默认的WordPress注册表单中添加验证码。 您可以使用多种类型的CAPTCHA，但大多数人认为Google的reCAPTCHA服务是对用户最友好的一种（也称为No CAPTCHA reCAPTCHA）。它旨在对大多数合法的人类访问者不可见，同时仍向其确定可能是机器人的访问者显示验证码测试。 要将NoCAPTCHA reCAPTCHA添加到您的WordPress注册表单，您可以使用免费的Advanced noCaptcha & invisible Captcha (v2 & v3)插件。 要设置插件，您首先需要从Google生成一个免费的reCAPTCHA API密钥——只需输入您的网站并选择要使用的reCAPTCHA类型： 生成reCAPTCHA API密钥 然后，您可以进入设置 → Advanced noCaptcha & invisible […]

由于WordPress的流行，它已成为网络攻击的常见目标。事实上，Alexa Top100万的40,000个WordPress网站中有70%容易受到黑客攻击。 被黑网站的一些最常见迹象包括网页被破坏、指向恶意网站的链接、谷歌黑名单警告和白屏死机。如果这些迹象之一出现在您的WordPress网站上，则它可能已被入侵或感染了恶意软件。 一旦您确认您正在运行一个被黑的WordPress网站，请尽快采取适当的措施来恢复它。继续阅读，因为我们将提供从被黑网站手动删除恶意软件的步骤。我们还将介绍一些可供选择的最佳WordPress安全插件。 如何手动删除WordPress恶意软件 步骤 1：准备删除WordPress恶意软件 步骤 2：重新安装WordPress核心文件 步骤 3：比较受感染的和干净的WordPress安装 步骤 4：从上传中清除PHP文件 步骤 5：在文件中查找后门 步骤 6：检查SQL数据库文件 步骤 7：查看每个页面的代码并发布 步骤 8：从URL拦截列表中删除您的网站 最好的WordPress恶意软件删除插件 1. WordFence Security 2. All In One WP Security & Firewall 3. Sucuri Security 购买WordPress恶意软件删除服务 如何手动删除WordPress恶意软件 虽然可以恢复被黑的WordPress网站，但该过程需要在网站维护和托管方面具备良好的技术知识。 如果以下教程对您来说太具有挑战性，我们建议使用WordPress恶意软件清除插件或聘请WordPress恶意软件清除专家。 步骤 1：准备删除WordPress恶意软件 首先，请记住，您可以修复被黑的WordPress网站。虽然恢复它可能需要一些时间和精力，但要知道你可以克服这样的事件。因此，保持冷静并遵循适当的恢复程序非常重要。 在从您的WordPress网站中删除恶意软件之前，请执行以下准备步骤以确保您的数据安全： 1. 限制对网站的访问 如果您的WordPress网站有恶意重定向到阴暗、不安全的网站，那么它很可能已被黑客入侵。如果不加以检查，受感染的WordPress网站可能会提示访问者访问危险网站并泄露他们的个人详细信息。 限制对您的WordPress网站的访问将有助于防止当前感染它的隐藏恶意软件的进一步传播。通过主机控制面板的文件管理器或FTP客户端编辑.htaccess文件来执行此步骤。在本教程中，我们将在宝塔面板的的文件管理器。 这是如何做到的： （1）导航到文件菜单下的文件管理器。 （2）访问/www/wwwroot/yourdomain目录并向下滚动以找到.htaccess文件。如果该文件不存在，请创建一个新的. （3）将此代码段添加到.htaccess文件以阻止除您之外的所有访问： order allow,deny deny […]

WordPress是一个功能强大且流行的内容管理系统 (CMS)。然而，它并非没有缺点。由于应用如此广泛，它也是黑客的常见目标。因此，网站所有者可以从熟悉WordPress安全问题并采取措施预防这些问题中受益。 好消息是您可以采取许多不同的步骤来保护WordPress。无论您是在处理被黑网站还是希望采取预防措施来保护您的网站，都可以使用大量服务、工具和解决方案。 在这篇文章中，我们将为您提供10个最常见的WordPress漏洞列表。我们将讨论每个问题的一些主要原因，然后提供预防这些问题发生的解决方案。 保护WordPress网站的重要性 10个常见的WordPress安全问题和漏洞（以及对应预防措施） 1. 弱密码 2. 恶意软件 3. 跨站脚本（XSS） 4. 过时的软件、插件和主题 5. 分布式拒绝服务 (DDoS) 攻击 6. 结构化查询语言（SQL）注入 7. 搜索引擎优化 (SEO) 垃圾邮件 8. HTTP代替HTTPS 9. 网络钓鱼 10. 低质量托管 WordPress安全常见问题 (FAQ) 保护您的WordPress网站的重要性 WordPress是全球最受欢迎的CMS，为40%以上的网站提供支持。这是一个开源项目，这意味着任何人都可以为其开发做出贡献。 全世界有数百万人使用WordPress。由于其受欢迎程度，CMS成为黑客和恶意用户的主要目标。 安全漏洞可能会危及您网站和访问者数据的安全。如果网络犯罪分子渗入您的网站，可能会导致停机时间延长和私人信息泄露。此事件不仅会损害您的流量和业务，还会对您的品牌声誉造成长期损害。 确保您的网站受到WordPress漏洞的保护可以最大限度地减少您成为攻击受害者的机会。通过掌握安全和执行安全审计，您可以优化站点的性能并保持客户的信任和忠诚度。 10个常见的WordPress安全问题和漏洞（以及如何防止它们） 现在我们了解了更多关于WordPress安全性为何如此重要的信息，让我们来看看您可能遇到的一些问题。以下是10个常见的WordPress漏洞以及如何保护您的网站免受这些漏洞的侵害！ 1.弱密码 网站所有者和用户犯的最大错误之一是使用弱密码。易于猜测的密码使黑客更容易访问您的网站。 例如，最常见的网络攻击之一是蛮力攻击。在这次黑客攻击中，代理和机器人使用不同的密码组合，直到他们能够破解代码并闯入。他们利用您的登录页面来访问您的网站。 这就是为什么确保WordPress网站上的每个用户都使用复杂密码至关重要的原因。我们建议使用密码生成器工具，例如WordPress用户页面内置的工具。 此外，明智的做法是定期更新您的密码。如果您担心忘记密码，可以使用NordPass或LastPass等密码管理器工具。 同样，我们还建议限制登录尝试并启用双因素身份验证 (2FA)。WordPress默认不提供这些功能。但是，您可以使用WordPress登录安全插件（例如Loginizer ）轻松添加它们。 这个免费工具可以通过阻止可疑IP、启用2FA和限制登录尝试来帮助防止暴力攻击。 2. 恶意软件 黑客可以使用恶意软件用恶意代码感染您的网站，从而窃取敏感数据。如果您正在处理被黑网站，您的文件很有可能感染了恶意软件。 恶意软件有不同的变体。影响 WordPress 网站的一些最常见类型包括恶意 重定向、偷渡式 下载和后门攻击。 当涉及到这些类型的安全问题时，最好的做法是预防。但是，即使使用安全协议，您仍然可能成为恶意软件的受害者。 第一步是验证是否存在恶意软件。它可能在您的文件、文件夹和数据库中。您可以使用Wordfence等工具在您的网站上执行恶意软件扫描： […]

蛮力攻击是通过试错法尝试解锁受密码保护的网页的方法。劫机者使用复杂的机器人来猜测登录、注册和其他页面表单上的用户名和密码，并试图接管该网站。机器人不断尝试猜测凭据并在您的服务器上施加大量负载。 因此，即使您不是从安全角度考虑，也必须阻止这些机器人/用户以减少托管服务器上的负载。在本文中，让我们讨论如何防止WordPress中的暴力攻击。 停止WordPress中的蛮力攻击 有不同的方法可以保护您的登录页面并阻止WordPress中的暴力攻击。但是，您需要一个插件来启用这些功能，在本文中，我们将主要使用Jetpack和All In One WP Security and Firewall插件进行说明。 有时您的托管公司可能会为此提供专用插件。例如，您可以在使用SiteGround托管时使用SiteGround安全插件。 1. 使用Jetpack插件进行暴力预防 Jetpack提供了许多模块，“Security”是阻止暴力攻击的模块之一。 转到管理面板中的“Jetpack > Settings”菜单。 当您在“Security”部分时，向下滚动并激活“Protect”模块。 在Jetpack中启用蛮力攻击保护 启用后，Jetpack将自动保护您的站点，而登录表单上没有任何可见的验证码。 此外，您可以单击“Protect”选项并添加IP地址列表以允许访问您的登录页面。该插件仅允许列出的IP地址访问您的WordPress登录页面，所有其他IP将被阻止登录到管理仪表盘。 Jetpack中的白名单IP 2. 使用All in One WP Security & Firewall插件进行暴力预防 Jetpack的暴力预防非常简单，没有太多其他选择。All in One WP Security & Firewall插件是流行且免费的安全插件之一，有助于有效保护您的WordPress网站。从您的WordPress仪表盘安装并激活插件。它将在管理仪表盘的侧边栏上创建一个新菜单“WP Security”。 搜索All in One WP Security & Firewall插件 该插件以积分衡量您网站的安全性，激活各个安全选项将增加积分。为了防止暴力破解，请导航到“WP Security > Brute Force”部分以查看多个选项，如下所示： 蛮力攻击预防选项 在使用任何安全设置进行处理之前，请确保具备以下条件： 使用站点文件和数据库备份整个站点。该插件将创建数据库表并修改.htaccess等站点文件。 确保您可以通过FTP访问您的托管服务器。当您被锁定在管理仪表盘之外并且无法登录时，这是恢复文件所必需的。 仅当该选项适用且您需要时才启用。 […]

WordPress的美妙之处在于您可以随心所欲地深入兔子洞。如果您的技术知识为零，那么您在指尖就能拥有与经验丰富的专业编码员相同的相对能力。虽然有时，当您需要深入研究WordPress的后端以修复权限错误时，它有助于了解您在做什么。 简单来说，如果您的权限错误，您将无法访问某些文件或文件夹。事实上，更正确的说法是服务器不允许任何人访问这些文件。解决方法是深入了解，进行一些更改，然后退出。 在接下来的几分钟内，我们将在WordPress中查看以修复权限错误。更重要的是，我们将为您提供一切所需的一切，让您做好它。 什么是“权限”（以及为什么需要它们） 权限的电梯音调是它们保护您的文件和文件夹免受未经授权的访问。更复杂的是，每个文件和文件夹都有一定的权限级别。如果诸如浏览器之类的客户端试图打开或以其他方式使用该文件，服务器将检查是否具有这样做的正确权限。 如果客户端签出，服务器会将文件ping到浏览器作为HTTP请求的一部分。相反，如果客户端没有正确的权限，你会得到一个错误。 在大多数情况下，您不会遇到权限错误。这是因为系统的工作是将访问权限限制为只允许需要文件或文件夹的人访问。如果您没有文件权限，您的WordPress网站以及您的服务器可能会遇到恶意攻击的真正麻烦。 您需要什么来帮助WordPress修复权限错误 好消息是您不需要很多东西来重新强化WordPress并修复权限错误。事实上，您只需要一个工具：安全文件传输协议 (SFTP) 客户端。市场上有一些这样的，但有三个我们最喜欢。 对于初学者来说，FileZilla是通过SFTP访问您的站点的标准工具，尽管Cyber​​duck具有同样多的可用性和功能： 如果您想要一个还可以为您做很多其他事情的高级SFTP解决方案，Panic’s Transmit是一个很棒的工具： 这可以帮助连接到WordPress并修复权限错误、从云存储中推送和提取数据等等。 无论您选择哪种SFTP工具，在打开网站的引擎盖之前，您还需要检查以下内容是否到位： 对您的服务器的管理访问权限。简而言之，如果您在尝试修复权限错误时遇到权限错误，您将陷入困境！ 了解如何使用SFTP，尽管您在这里不需要高深的技能 – 足以访问您的服务器和编辑文件设置。当然，有很多方法可以在您的WordPress服务器上使用SFTP。 此外，虽然了解文件权限如何与WordPress一起工作很有用，并且会加快修复所需的时间，但现在没有必要。本文将向您展示要更改哪些设置以及如何更改，并且为了修复错误，您不需要知道血腥的细节。 我们还建议您对您的网站进行最新且干净的备份，以防您所做的更改无法按照您的需要进行。如果你“tank”你的网站，你会很高兴有一个新的备份存在。 如何强化WordPress并修复权限错误 当您希望安装主题或插件时，会出现权限错误。因为WordPress无法访问该文件，所以您需要帮助它。 我们将通过四个步骤来做到这一点： 使用SFTP登录您的服务器。 确保文件具有正确的权限。 查看您的文件夹是否也具有正确的权限。 检查一堆特定文件是否具有唯一权限集。 好消息是您可以使用前几个步骤中的指导来执行其余步骤。另外，请注意，我们在这些步骤中使用Cyber​​duck，但每个SFTP客户端都有自己的方法来修改文件权限。如果您使用与我们不同的东西，请查看您的文档以了解确切的功能。 首先，您需要进入您的服务器。 1. 通过SFTP访问您的服务器 您的第一步是登录您的服务器。为此，您需要您的SFTP凭据。通常，您可以在主机控制面板中找到这些： 您也可以在托管公司的电子邮件中找到它们，因此也可以在您的收件箱中搜索这些登录详细信息。 一旦你有了它们，启动你的SFTP客户端，并寻找打开一个新连接的选项——它可能在你的客户端中被称为不同的东西： 从这里，使用您的凭据填充字段。不过，如果您可以选择，请确保您使用的是显式SFTP连接。一些工具没有相同数量的潜在连接，并且可能默认为SFTP。不过，请仔细检查您是否能够： 登录后，您将进入您的主目录。这将包含您的所有站点，您的下一个任务是选择正确的WordPress站点并修复其中的权限。 站点本身可以​​有多种名称—— public_html、root、www或站点名称。找到您的站点后，双击进入该文件夹。里面是你所有的WordPress核心文件。从这里，您需要选择文件和文件夹，并设置正确的权限。 2.为文件设置正确的文件权限 一旦您可以访问站点的根目录，您就可以开始设置正确的权限。在我们向您展示如何操作之前，让我们先来看看文件权限的世界。 文件权限设置快速入门 权限包含三个部分：读取、写入和执行。反过来，这些让WordPress从文件中获取数据，向其中添加数据，并对其运行其他操作。 显示每个文件的权限的传统方式是通过一组三位数字。每个数字代表显式用户组（所有者、组或其他用户）的特定操作（读取、写入或执行）。 我们将使用这些三位代码提及文件权限，大多数SFTP客户端也会向您展示它们的含义。这意味着您可以选择使用其中一种方法，同时引用另一种方法。 选择您的文件和更改权限 准备好后，选择服务器中的每个文件，并确保取消选择文件夹。从这里，您需要查找您的文件权限设置。在Cyber​​duck中，您可以右键单击并转到信息屏幕，但在FileZilla中，您可以选择文件权限。无论如何，这将弹出一个包含三位数字和一组复选框的框： 您的大多数WordPress文件都应该具有644权限。将其键入框中后，还单击选项以递归应用更改。同样，它可能会在您选择的客户中说出不同的内容。 单击以确认后，这是一项不碍事的任务。接下来是处理您的文件夹。 3.为文件夹设置正确的权限 要设置文件夹的文件权限，请使用与上一步相同的过程。这一次，您将文件替换为文件夹。 首先，选择根目录中的每个文件夹，然后打开文件夹权限设置。这一次，您要755用作权限。再次确认您的更改，这就是几乎完成的任务。 4.确保某些特定文件具有唯一权限 在结束之前，一些WordPress和服务器文件的权限与其他文件不同。具有不同权限设置的主要WordPress文件是wp-config.php。因为这是一个重要文件，所以您要确保它几乎是只读的。不过应该有一些许可元素，所以按照前面的步骤，将权限更改为440. 这意味着没有人可以写入或执行该文件。不过，您可能会遇到一些服务器和/或插件设置的问题。如果是这种情况，请开始打开文件，直到您不再看到任何错误。首先尝试444，然后600，下一步640，如果解决了问题，请644使用。 […]

通常我们在使用WordPress搭建一个网站前，又或者测试一个WordPress主题或者插件时，会通过本地环境搭建一个WordPress测试网站。但对于初入门的WordPress新手来说，搭建WordPress本地环境可能未必是一件容易的事情。 实际上，我们只需要几个简单的步骤，即可完成本地安装WordPress。无论您是要测试新功能，试验开发项目还是在正式上线之前搭建WordPress网站，本地WordPress安装都可以帮助您实现这一目标。 在本文中，我们将分享如何使用DesktopServer，XAMPP，WAMP或MAMP在Windows、Mac及Linux电脑系统安装WordPress 。 关于本地安装WordPress的概述 WordPress本地安装之DesktopServer篇（Win&Mac环境） WordPress本地安装之WAMP篇（Windows环境） WordPress本地安装之MAMP篇（Mac&Win环境） WordPress本地安装之XAMPP篇（Win, Mac&Linux环境） 关于本地安装WordPress的概述 在本地安装WordPress也有一些优势。非正式环境，完全无需担心影响访客浏览网站体验；即使无网络，也可以继续操作。 此外，在处理文件和本地编辑时，本地环境有时会更快。通常只需较少的设置即可启动和运行它。 当您想在本地安装WordPress时，您需要在计算机上设置本地AMP堆栈。对于WordPress，AMP代表Apache，MySQL，PHP。这些均是WordPress服务器主机所需要运行的Web服务器软件。 您可以使用多种方法来实现本地服务器环境搭建。最常见的选项包括WAMP，XAMPP和MAMP，这些都是优秀的软件工具（当然我们还有本土的phpstudy，日后有时间也可以写篇文章专门介绍一番）。 但是，它们被设计为可与多种其他软件和工具一起使用，可能会有一些学习曲线。不过，没关系，我们下面会逐一对这几个软件进行说明。 首先要介绍的是DesktopServer，它实际上是为WordPress作为本地AMP堆栈专门设计和优化的。 WordPress本地安装之DesktopServer篇 DesktopServer是ServerPress提供的一款出色的WordPress产品，可以使在本地安装WordPress变得轻而易举： DesktopServer安装界面 您只需单击一下按钮，即可在几秒钟内启动新的开发安装。该工具还完全支持多站点和WP-CLI，并且可以在Windows和Mac上使用。 ServerPress有免费版本和高级版本，后者每年收费99.95美元。高级版本包括一些专业功能，例如： 多站点支持 导入和导出第三方备份 直接部署到线上环境 绕过任何登录插件 您可以根据需要选择最适合的版本。如果您只需要进行一些快速测试，免费版本完全足够了。 步骤1：下载DesktopServer到本地计算机 要在本地安装WordPress，您首先需要从官方下载DesktopServer。该软件提供Windows版本和Mac版本。以下示例，我们将使用Windows版本。 单击DesktopServer官网右上角的“FREE DOWNLOAD”按钮（ 如果需要专业版，请单击“购买高级版Buy Premium”）： ServerPress网站 然后你将会下载到.zip 安装包压缩文件到您的计算机。 步骤2：启动DesktopServer安装程序 文件下载完成后，下一步是启动DesktopServer安装程序。在执行此操作之前，需要解压缩刚刚下载的文件。这可能需要几分钟才能完成。 完成后，点击Install DSL： DesktopServer安装程序 首次启动该程序时，系统提示您以管理员权限重新启动。选择Continue。然后将提示您接受服务条款，并选择安装选项（新安装选择第一个选项即可）： DesktopServer安装界面 选中“New DesktopServer Installation”，然后单击“Continue”。安装过程将开始，这可能需要一些时间。 完成后，将弹出窗口，提示您安装已完成，并告知你在计算机目录中的哪里可以找到该应用程序。完成后，点击“Finish”。 步骤3：启用插件并启动Apache和MySQL服务 安装完成后，您可以启用多种不同的开发人员插件： DesktopServer开发人员插件启用 这是在本地安装WordPress时可以使用的开发人员插件的清单。强烈建议Bypass login和DS-CLI插件。 Airplane mode:本地开发时，控制外部文件的加载。 Bypass […]