WordPress 是一个很出色的CMS博客系统，有着丰富的第三方插件和主题，同时也给站长和广大读者提供了很棒的体验。但是，如果不重视网站安全，你的博客很快就会被黑客盯上。本文主要讨论 WordPress 的安全隐患和一些应对方法。

安全隐患可能出在哪里？

对于一个像 WordPress 一样复杂的 CMS系统，用户的程序是在不同的服务器上运行的，第三方插件，第三方主题都可能会存在一些缺陷。当破坏者通过某些缺陷攻陷了你的网站的话，麻烦就来了。

对于一个易受攻击的 WordPress，黑客可能会：

1、在你的网站上执行任意代码。

2、注入脚本，HTML代码或者是直接编辑你的帖子。

3、导致无法访问（使网站崩溃，CPU 和带宽过载）。

4、注入或者执行 SQL 命令。

5、获取重要数据，例如你的密码。

6、把用户带到另外的网站，可能还是钓鱼网站。

7、跨站伪造记录(CSRF）。

8、在你的网站上创建一个隐藏的帖子，这个帖子只对搜索引擎可见，而且是导向到黑客的站点的。

9、植入后门。这样就算你修复了那些缺陷黑客还是可以进入你的网站。

10、在你的 PHP 核心代码和主题文件里面植入一段加密代码。

网站被黑的主要原因

网站被黑的一个很重要的原因就是你用的WordPress版本太低，例如 WordPress 核心程序，插件，主题。这就是为什么现在有那么多的相关服务来把升级变得更简单。其中 WP remote 和 InfitniteWP 是两个免费又好用的服务。

还有一些其他常见的原因：

1、下载了来源不明的主题，通常这些主题都被写入了后门。

2、从一个感染了病毒的电脑进入你的 WordPress 网站后台,密码遭泄露。

3、管理员帐号的密码过于简单,被黑客轻松破解。

如何获取WordPress最新的漏洞信息

在 WordPress 3.X，已知的漏洞已经有30个，如果你的 WordPress 还是更旧的版本，漏洞就会更加多。你可以直接去关注一下 WordPress 的开发进展，订阅开发团队的博客 WordPress development blog。

防止网站被黑的应对方法

1、定时备份博客。这样就能确保你在任何时候都可以重建网站,减少被黑后造成的损失。

2、确保你的 WordPress 核心系统是最新的,及时更新版本。

3、确保插件和主题是最新的,不使用未知来源的主题，通常这些主题都是有后门的，特别是那些放到免费网盘里面的破解主题

4、用一个没有其他站点使用过的高强度密码。

5、确保用来登录 WordPress 站点的电脑是没有病毒的。

6、监控服务器和用户数据，调查可疑的行为。

7、使用空白的 index.html 文件来禁止其他用户访问主题和插件目录。

8、在你的 meta 描述里面把你的 WordPress 版本号去掉。

9、通过 htaccess 文件来保护 WordPress 的 wp-admin 文件夹。

这里推荐一些很好用的插件：

Wordfence 提供免费的防火墙，病毒扫描，和流量监控。

Bulletproof 针对 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防护。

Better WordPress security 提供傻瓜式的操作。

Lockerpress 自定义登录 URL，更换管理员，还有一些自定义过滤的选项。
iThemes Security可以设置离开模式,也就是当你睡觉,出差,不可能有时间写文章的时候自动锁定WP的控制面版.这样减少被攻击的风险。