WordPress网站总被黑？老司机给你扒扒常见坑！

哎，说到WordPress建站，那真是又爱又恨。好用是好用，上手快模板多，但架不住隔三差五就听说谁的站被黑了。今天咱就用大白话聊聊，那些让黑客有机可乘的破事儿，新手看完至少能避开80%的坑！

一、插件主题当甩手掌柜（最容易中招！）

你是不是装完插件就再也不管了？尤其是那些几年没更新的免费插件，简直就是给黑客留后门。前阵子那个叫"RevSlider"的幻灯片插件，多少大站栽在上面？就是因为有个文件没过滤用户输入，直接让人家把恶意代码塞进来了。

// 反面教材：某插件的危险代码
$user_input = $_GET['custom_code'];
echo "<!-- 用户自定义代码 -->" . $user_input; 
// 看到没？直接把用户输入输出到页面，这不是等着被XSS攻击吗！

// 正确姿势应该用esc_html()转义
echo "<!-- 用户自定义代码 -->" . esc_html($user_input);

记住啊兄弟，插件主题别贪多，半年不更新的赶紧删！后台那个"更新"提示不是摆设，看见了就点了它！

二、WordPress core当古董供着

有些人的WP版本还停留在4.x时代，官方都出到6.x了还不升级。你以为不升级就没事？大错特错！去年那个"Log4j"漏洞闹那么大，本质上和WP不更新是一个道理——旧版本的漏洞早就被黑客写进攻击脚本里了，扫码一样扫你的站。

三、服务器权限设成"谁都能进"

我见过最离谱的操作，有人把网站根目录权限设成777！这相当于你家大门不上锁还贴个"欢迎光临"。正确的做法是：

• 文件权限755（文件夹）和644（文件）
• wp-config.php必须设成400或440
• 数据库密码别用123456，至少加个!@#之类的特殊字符

四、管理员账号当"活靶子"

还在用admin当用户名的举个手！现在黑客的暴力破解工具，字典里第一个就是admin+123456。赶紧去后台改个复杂用户名，密码用那种大小写字母+数字+符号的组合，记不住就用密码管理器啊喂！

五、备份？不存在的！

最气人的就是这种，网站被黑了才想起没备份。我跟你说，每天备份数据库是程序员的基本素养！用WP自带的导出功能就行，或者装个UpdraftPlus插件自动备份到Google Drive，出事了半小时就能恢复，不比哭着求黑客强？

总结一下保命口诀：

1. 插件主题勤更新，半年不更就卸载
2. 核心版本追最新，安全补丁别落下
3. 文件权限设644，wp-config锁死400
4. 管理员名别用admin，密码长度至少12位
5. 每天备份数据库，出事儿了咱不怕

话说回来，安全这事儿没有一劳永逸，就像给房子装防盗窗，你得装三层还得反锁。有空多看看Wordfence的安全报告，人家专业做WP安全的，免费版就够用。行了，赶紧去检查下你的站，别等被挂马了才后悔！

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。