wordpress网站被黑后怎么解决，网站被黑恶意攻击解决

客户反映自己新装了wordpress第二天一看被黑了，文件全删了，留了个PHP马

可我们 365网站管家认为 不是 WordPress 的问题，可能是插件或主题的锅

365网站管家同时托管2000个WordPress网站的经历，WordPress安全相关的问题解决过不少次。

下面这篇文章就来说一下我们平常使用WordPress的时候，应该注意那些安全问题、以及如果出现安全问题应该如何补救

1、不要再网络上随便下载汉化/破解的主题或插件

哪有那么多免费的“午餐“，你在“享受”便利的同时也在给自己带来麻烦，黑产从业者会把木马／后门植入主题／插件从而利用你的主机去DDoS别人的网站，或者获取你的数据

2、不要使用弱口令管理员密码

什么112233、123456、admin、1314521类似的简直和没有密码一样。最起码要大小写字母加数字不少于8位

3、尽量修改默认的后台登录地址

WordPress默认的后台地址是域名/wp-admin，改成其他的目录降低密码被爆破的可能性

4、限制访问文件和目录

如果文件和目录的访问权限不够安全，这些文件可能会被黑客访问并用于破坏你的网站。建议将 wp-config 文件的权限设为 600，其它文件的权限设为 644，目录的权限设为 755

5、关闭目录浏览

有的主机环境默认没有关闭目录浏览，这样会带来很多安全隐患

6、禁止执行 wp-includes 目录中的 PHP 脚本

wp-includes 目录可能包含不安全的 PHP 文件，这些文件可执行用于控制和利用您的网站

7、禁止执行 wp-content/uploads 目录中的 PHP 脚本

wp-content/uploads 目录可能包含不安全的 PHP 文件，这些文件可执行用于控制和利用您的网站

8、关闭 pingbacks

通过 Pingbacks，当其它的 WordPress 网站链接到您的帖子时，会允许这些站点自动在您的帖子下留言。Pingbacks 可用于在您的网站上启动 DDoS 攻击，造成性能负载

9、更改默认的数据库表前缀

在所有 WordPress 安装实例上的 WordPress 数据库表都具有相同的标准名称。当标准的 wp_ 前缀用于数据库表名时，整个 WordPress 数据库结构是透明的，使得恶意脚本很容易从其中获取任何数据。此安全措施会将数据库表名称前缀更改为与默认的 wp_ 前缀不同的内容

10、养成备份的好习惯

有备无患，备份可以让数据丢失/损坏后即使恢复，不受损失。

11、保持插件、模板、WordPress是最新的

wordpress后台登录地址修改保护网站

对应wordpress网站来说默认的登录地址/wp-login.php，容易被软件抓取暴力攻击，导致入侵后台，植入木马等问题。

为了网站的安全性，修改wordpress默认的登录地址变得尤为重要。

我们可以在wordpress主题函数：functions.php中加入下面代码：

//后台唯一登录地址
add_action('login_enqueue_scripts','login_protection');
functionlogin_protection(){
if(($_GET['admin']!='feihuan')||($_GET['password']!='feihuan123'))header('Location:https://www.网址.com/wp-content/uploads/2019/12/zzenwhite.png');
}

这样就有一个唯一的登录地址：

/wp-login.php?admin=feihuan&password=feihuan123

如果不是这个地址就会跳转到我们填的图片链接上面。

我们也可以改成网址首页的地址，这样就可以大大降低软件暴力破解的问题了。