在Wordpress中的防黑客或安全性-是真的吗？

Question

多年来，我一直使用WordPress作为网站的平台，这对我作为开发人员和客户来说都很方便。但最近几个月，我的几个客户网站被黑客入侵，我很担心这个问题。

1. 如果你不考虑密码强制的选项，黑客如何才能访问网站的文件系统并上传恶意文件呢？
2. 如果没有使用安全插件(例如iThemes安全性)来保护站点，会产生额外的负载吗？在服务器端你有什么建议？
3. 在没有更新的情况下保护WordPress是真的吗？有时，无法自动更新旧项目。有两个网站被黑客入侵: v3.x (这是可以理解的)和v4.x (最新的)

我很感激你的建议，因为我对这件事没有什么意义.

Answer 1

但最近几个月，我的几个客户网站被黑客入侵，我很担心这个问题。

在我的经验中，快速连续的黑客攻击模式表明了一个共同的联系。通常情况下，它是易受攻击的插件/主题或不称职的主机。

如果你不考虑密码强制的选项，黑客如何才能访问网站的文件系统并上传恶意文件呢？

黑客行为本质上就是军备竞赛。如果有一种方法可以简单地枚举黑客攻击的发生方式，那么就可以简单地关闭所有这些方式。但事实并非如此。

如果没有使用安全插件(例如iThemes安全性)来保护站点，会产生额外的负载吗？在服务器端你有什么建议？

我认识的许多开发人员都非常怀疑WordPress安全插件。有很多安装都没有使用，而且工作也很好。

就我个人而言，我认为有必要增加一个插件，用于双因素身份验证。它造成问题的可能性很低，即使凭据被泄露也能保证访问的安全。

在没有更新的情况下保护WordPress是真的吗？有时，无法自动更新旧项目。有两个网站被黑客入侵: v3.x (这是可以理解的)和v4.x (最新的)

不，它不是。根据软件的性质，任何大型项目仍然包含有待发现的安全漏洞。对于WordPress的每一个主要版本，通常都会有一些小版本与错误修复和安全修复相结合。

最近版本的WordPress开始自动更新安全版本。您也可以考虑使用主要的版本，但这会增加未经测试而崩溃的风险。

总的来说，无限期地使用特定版本的WordPress是很糟糕的。