作为一个开源程序，WordPress 的代码暴露在所有程序员眼中，任何 Bug 或漏洞很快会被揪出来，解决掉，从各方面来说，WordPress 的安全性足够高，即便如此，基于 WordPress 的站点还是免不了被黑的一天，漏洞可能出现在其他地方，比如：

• 服务器操作系统的漏洞
• 同一个服务器上其他站点的漏洞
• 管理员密码，FTP 密码被暴力破解
• 主题或插件的漏洞
• 登录信息被截取

WordPress 网站被黑最常见的情况是被插入广告链接和恶意代码。网站被黑了，我们肯定很生气，很郁闷，可这对解决问题没有帮助。在这种情况下，我们最应该做的是控制一下情绪，清理恶意代码，恢复网站。

怎么彻底替换被感染的文件为干净的文件恢复网站正常运行

一旦网站被插入了恶意代码，每一个文件或文件夹都可能被插入恶意代码，最保险的办法就是全部替换这些文件，如果网站有备份，直接恢复备份是最快捷的办法。如果没有备份，或者备份不可用，我们就需要逐个替换文件了。按照以下步骤逐个替换文件，建议执行下面的操作之前先把被感染的网站备份一下。

• 网站根目录除了 `wp-config.php` 以外的其他文件，不包括文件夹
• 替换 `wp-admin` 和 `wp-includes` 文件夹，建议先彻底删除这两个文件夹，再上传新的上去。
• 替换 `wp-content/plugin` 文件夹里面所有的插件为从官方下载的版本。
• 删除 `wp-content/uploads` 和 `wp-content/languanges` 文件夹里面所有的 `.php` 文件。正常情况下，这两个文件夹里是没有 PHP 文件的，如果有，肯定就是恶意代码了。
• 如果你没有修改主题，下载原版的主题，替换被黑的主题。如果你修改过主题，最靠谱的办法就是查看一下每个文件和文件夹，把恶意代码清除掉。

现在，网站里面的恶意代码已被清理完毕。

怎么防范攻击提高WordPress的安全性

没有绝对的安全，只有让别人攻击我们的网站时更加困难。下面是提高 WordPress 安全性的几点小建议，有兴趣的朋友可以逐条对照一下自己的网站。

• 不要使用 FTP 服务，FTP 密码是明文传输的，很容易被嗅探到，使用 SFTP，如果一定要使用 FTP，请为 FTP 启用 TLS/SSL 支持The
• 不要图省事使用弱密码，想更安全一点，开启两步验证。
• 全站开启 SSL 加密，避免登录信息别同网络中不怀好意的人截取。
• 不要下载来历不明的主题或插件，特别不要使用网络上分享的高级主题或插件，如果需要，就直接去购买一份，花费远比网站被黑后带来的各种损失小。
• 及时更新服务器操作系统，WordPress 内核，使用的主题和插件。
• 不要和容易被攻击的站点放在一个服务器上。
• 打死也不要和 dede cms 放在一个服务器上。
• 经常看看网站访问日志，看是否有异常访问。
• 使用 Fail2ban 限制暴力破解The
• 不要使用 admin 作为用户名。
• 修改 wp-admin 和 wp-login. php 的默认地址。

其实，上面的注意事项大家都知道，很多人会抱着侥幸心理不去防范，直到被黑了才追悔莫及，如果你的网站很重要，请一定要做足安全防范，预防永远比治疗有效。

以上是已经自己的经验总结出来的一点心得，如果你觉得又遗漏的，或者错误的地方，方便在评论中指出，我将随时保持文章更新，以方便又需要的朋友查看。