知乎原答：https://www.zhihu.com/question/385295712/answer/1666754670

用WordPress开发的网站，如果被黑，99%都是没有升级造成的。这既包含了主程序更新，也包括插件和主题更新

主程序更新

WP主程序一定要保持最新，这是个老生常谈的话题了。WP作为市场占有第一的CMS，是有无数黑产盯着的，但是WP又是升级更新最频繁的CMS，每个月都有小到0.0.1的版本号升级，有时候还有多次，多是给安全打补丁。这就形成了一个有趣的现象：

最不安全的CMS：旧版本的WordPress
最安全的CMS：最新版的WordPress

插件和主题更新

但是升级最新版有时候是会带来问题的。如果你的WP网站是由一大堆插件堆起来的，那么升级WP主程序就好比走钢丝，如履薄冰。指不定哪个插件就和最新版主程序没有及时做好兼容更新，造成大大小小的问题。每多一个插件，就多一点这样的风险，插件多了风险就很大。所以我本人又要强调一下自己的开发理念，就是尽量不用插件，能少用一个就少用一个。并且如果用了，插件也要保持更新。

不更新的旧版插件，除了增加和新版主程序不兼容的概率外，本身也可以造成安全隐患。WP庞大的用户基数，造成不少插件（或主题）也有庞大的用户数，所以各种黑产黑客也会对一些插件主题进行漏洞扫描，不更新这些插件主题，也是把漏洞暴露在外。

是否要用安全插件？

有些人会推荐一些WP安全插件，比如WP Defendor。我个人则相反，还是那句话，能少用一个插件都是好的。安全插件并不增加网站的业务功能，反而明显拖慢后台速度。其实如果能保持主程序和其他必用插件的及时更新，那已经能防住99%的攻击了。

剩下的1%，如果你想做得绝对一点，也就下面推荐几点：
1. 修改WP后台登录入口地址，并且看心情偶尔不定期去改改密码
2. 把服务器的SSH登录端口给改掉，并且看心情偶尔不定期去改改密码
3. 做好自动备份兜底，比如在阿里云你设置个每周备份一两次的自动镜像，没几块钱。有了自动备份，其实根本不怕被黑，真被黑我再还原回来就行了，小公司小项目大都不差你几个小时的数据，没影响。。。

太麻烦或者有难度的手段不推荐，意义不大，本文只是科普而已。

本站所有文章均为原创，欢迎转载，请注明文章出处：https://blog.brain1981.com/2949.html。百度和各类采集站皆不可信，搜索请谨慎鉴别。技术类文章一般都有时效性，本人习惯不定期对自己的博文进行修正和更新，因此请访问出处以查看本文的最新版本。

本站记录了近几年的工作中遇到的一些技术问题和解决过程，“作品集”还收录了本人的大部分作品展示。除了本博客外，我们的工作室网站 – JennyStudio，内有更多作品回顾和展示。
您也可以扫描左边的二维码，关注我们的微信公众号，在微信上查看我们的案例。