前段時間，部落格接連被黑了幾次，這對於我來說還是頭一次遭遇。第一次被黑的時候，後臺登陸不進去，檢視資料庫發現賬號和密碼被改了，以為是密碼洩漏了，於是重置主機內容，更換賬號密碼，用備份資料重新上線；隔了一週，發現又登陸不上了，首頁還被篡改了一部分內容，真是無語，簡單處理了下又可以訪問了；沒想到過了幾天，又被黑了，真是心累，放了好幾天都懶得處理，後果就越來越嚴重了，主機被上傳了新的目錄和檔案，接著網站連結也被用 .htaccess 改的指向別處了，看來不得不好好收拾一下了。

去 Google 上搜了一下，找到一篇不錯的文章—— WordPress 終極安全指南，參考著把裡面提到的絕大部分操作都實現了。

下面簡單說下這次處理的幾個地方：

一、自動更新

通過外掛 Companion Auto Update 讓 WordPress 核心、外掛和主題的一直保持最新。

二、自動備份

這個之前就設定了，用的是 BackWPup 外掛定期備份網站資料到 Dropbox，這次在文章中看到推薦的是 UpdraftPlus，後面可以對比試下哪個好用。

三、安全掃描

通過 WordFence 外掛來搞定，功能還挺強大的，設定了隱藏 Wordpress 版本號、禁止上傳資料夾執行程式碼，同時還限制了登陸嘗試次數，防止暴力破解。

四、保護登陸入口

安裝了 WPS Hide Login 外掛，禁止對 /wp-admin 和 /wp-login.php 的訪問，並把登入入口修改成自定義 URL。

五、修改資料庫字首

防止 SQL 注入，這次資料庫被改，懷疑這個可能性極大，之前裝 Wordpress 都喜歡用預設字首 wp_ 的，看來後面得改下習慣。

六、關閉 XML-RPC

通過 Disable XML-RPC 外掛，徹底關閉了 XML-RPC 功能。

七，啟用 Https

之前怕麻煩，一直懶得升級，這次被迫弄了下，藉助 Really Simple SSL 外掛升級到了 Https，還算比較快的，就是要驗證的細節比較多，後面把 Google Webmasters 中的相關資訊也更新了下 。

重新部署之後到現在也有兩三週了，通過 WordFence 後臺發現了一些異常的訪問，也遮蔽了一些 IP，但至少目前部落格看起來還是安全的，沒有被滲透的跡象。

上週的時候，Google 搜尋了下部落格名字，本來是想看下是否還有之前加上的垃圾連結時，發現居然有全站連結了，不清楚是不是改了 Https 之後帶來的，算是個意外之喜。

個人部落格雖小，安全也得注意，尤其對於 WordPress 這麼流行的部落格系統，安裝後一定要檢查是否做到了以下三點：自動更新、安全外掛定期掃描和自動備份，做到了這三點，基本可保網站無虞。

檢視原文：https://xuhehuan.com/2747.html

作者：艾蔓草
來源：CSDN
原文：https://blog.csdn.net/xhhjin/article/details/81329847
版權宣告：本文為博主原創文章，轉載請附上博文連結！