在Wordpress中安全是个问题吗？

Question

我要为他的汽车商店建立一个大的公司网站，这应该是更安全的。Wordpress可以启动一个安全可靠的网站吗？

据我所知，Wordpress黑客通过一些易受攻击的插件侵入far服务器。这是真的吗？

如果我建立一个没有一个插件的网站呢？那么Wordpress会被保护吗？

Answer 1

在一般意义上，任何维护良好的平台都可以用来创建具有良好安全性的网站。必须指出的是，你永远不会建立一个网站，这是完全安全的黑客和垃圾邮件，无论你使用的平台，无论你是什么天才或专业。黑客进化得更快，使特定代码的安全性成为目标，从而将他们排除在外。

Wordpress内核本身是相当安全的，具有良好的安全性。最大的好处是，核心得到了很好的维护和更新，因此安全风险保持在最低限度。唯一的缺点是core仍然与PHP5.2兼容，这是几年前的EOL版。PHP 5.3几乎是一年前编辑的。

抛开所有这些，不管您使用的平台有多安全，它都是关于您将要使用的自定义代码。这是一个事实，有成千上万的写得很差的主题和插件，我甚至不会安装在我的本地测试安装，我可能会被黑客通过这些插件和主题，哈哈;-)。回到严肃的态度，您需要确保所有自定义代码都是安全的。永远不要认为任何输入是理所当然的，也从不信任任何类型的输入(特别是来自URL或来自文本输入字段的信息的值)，也从不在文本字段中执行php。验证逃逸消毒，记住这些术语。根据数据处理所有数据，并根据数据使用适当的方法对数据进行转义、验证和净化，以确保数据的安全。用户输入数据是黑客向您的站点注入数据的最简单方法。输入URL或文本字段的简单的一行javascript可以让黑客完全访问您的站点以注入自定义代码。

一个非常重要的注意事项，保持您的网站和代码的最新。使用适当的知名托管公司。质量差的主机很少支持比PHP5.4更新的PHP版本。正如我说过的，PHP 5.3是在将近一年前发布的，所以它不再被维护，这反过来意味着如果您仍然在使用它，那么就意味着很大的安全问题。获取至少支持PHP5.4的主机，该主机目前仍在维护中。适当的主机也有额外的功能，以增加安全性。

升级Wordpress时，有一个更新可用。尝试安装最新版本。也有非常著名的安全插件可用和captcha验证插件的表单。

最后，如果你还没有这样做，让自己在适当的离线测试本地安装，在那里你可以测试代码，插件和主题。检查代码并确保该代码的完整性。只有在经过适当的离线测试后，才能将代码、插件或主题添加到您的活动站点上。

这应该是帮助你的最低限度的指南。

Answer 2

没有什么是100%安全的，所以做好最坏的打算：

假设你的网站会被黑客入侵一个美好的一天，甚至完全删除。

因此，考虑回收计划，包括：

• 为您的数据库和上传的文件进行场外备份，
• 您的代码(主题和插件)的离站版本控制存储库。

通过使用以下方法降低风险：

• 最新的“可信”软件，
• 安全连接，
• 强密码。

..。并抱有最好的希望；)