插件可以為您的小型企業(yè)網(wǎng)站做很多事情。您可以使用它們來(lái)加快您的 WordPress 網(wǎng)站加載速度，使您的內(nèi)容可共享，為您的營(yíng)銷(xiāo)列表收集訪問(wèn)者電子郵件地址，并在搜索結(jié)果中做得更好。更好的是，許多可以升級(jí)您的網(wǎng)站和商業(yè)博客的最佳 WordPress 插件都是免費(fèi)的。

確保您選擇的插件信譽(yù)良好且安全非常重要。不幸的是，人們可以并且確實(shí)在利用插件。通常，這涉及將惡意腳本注入到具有安全漏洞的插件中。

這些惡意腳本有什么作用？可能性包括網(wǎng)站接管、間諜軟件安裝和加密貨幣挖掘，以及從電子商務(wù)網(wǎng)站竊取客戶(hù)信息和信用卡數(shù)據(jù)。

這并不是說(shuō) WordPress 不安全。在 2021 年 1 月至 2021 年 7 月期間，研究人員僅在核心軟件中發(fā)現(xiàn)了三個(gè)漏洞，并且已修復(fù)這些漏洞。但是，由于來(lái)自幾乎同樣多的發(fā)布者的數(shù)以萬(wàn)計(jì)的插件，插件出現(xiàn)安全問(wèn)題的可能性高于平臺(tái)本身。

您的 WordPress 插件是否面臨威脅？

選擇插件有點(diǎn)像買(mǎi)車(chē)。當(dāng)然，您需要性能，但您也需要安全、可靠且易于維護(hù)的東西。您選擇一家信譽(yù)良好的汽車(chē)經(jīng)銷(xiāo)商并閱讀評(píng)論，所以您不會(huì)買(mǎi)檸檬。而且您應(yīng)該從可靠的來(lái)源獲得評(píng)價(jià)最高的插件，這樣您就不會(huì)最終遇到惡意插件或具有已知安全漏洞的插件。

安全專(zhuān)家認(rèn)為WordPress.org 的插件目錄是最安全的插件來(lái)源。擁有超過(guò) 59,000 個(gè)插件，您不會(huì)用完所有選項(xiàng)，并且該網(wǎng)站會(huì)征求用戶(hù)的反饋和評(píng)論。

WordPress.org 上的一些食譜插件

下載前查看這些評(píng)論——不僅是星級(jí)，還有用戶(hù)反饋。查看人們喜歡該插件的哪些方面。了解他們?cè)谑褂迷疾寮蚋聲r(shí)遇到的任何問(wèn)題。了解發(fā)布者對(duì)該插件的支持程度。

還要檢查活動(dòng)安裝的數(shù)量，以了解有多少用戶(hù)信任該插件。一個(gè)好的插件可能只有幾百個(gè)用戶(hù)，但是一個(gè)擁有數(shù)千個(gè)用戶(hù)的插件卻贏得了很多信任。

等等，我的虛擬主機(jī)沒(méi)有為我提供安全保障嗎？

您的虛擬主機(jī)確實(shí)處理了很多安全問(wèn)題，包括對(duì)托管您網(wǎng)站的服務(wù)器的物理和數(shù)字保護(hù)。您的特定托管計(jì)劃也可能包括您網(wǎng)站的安全功能。例如，HostGator 的托管 WordPress 托管計(jì)劃包括CodeGuard 自動(dòng)每日網(wǎng)站備份、用于檢測(cè)和刪除站點(diǎn)惡意軟件的 SiteLock，以及使用 SpamAssassin 在您域的電子郵件帳戶(hù)上防止垃圾郵件。

這些保護(hù)層可以節(jié)省您的時(shí)間，因此您可以專(zhuān)注于您網(wǎng)站的特定安全需求：保持您的 WordPress 版本、您的主題和您的插件是最新的，并確保更新不會(huì)破壞您的網(wǎng)站（每天更新的另一個(gè)原因備份非常重要）。

請(qǐng)記住：安全功能可能因虛擬主機(jī)和托管計(jì)劃而異。如有疑問(wèn)，請(qǐng)咨詢(xún)您計(jì)劃的支持團(tuán)隊(duì)，以確定提供了哪些安全功能。

檢查與最新版本 WordPress 的兼容性

因此，您找到了一個(gè)評(píng)價(jià)良好且用戶(hù)眾多的插件。在您下載它之前，請(qǐng)確保它與您的 WordPress 版本兼容。（為了安全和性能，您也應(yīng)該始終在 WordPress 上更新您自己的網(wǎng)站。）

為確保您的插件和 WordPress 兼容，您需要了解當(dāng)前的 WordPress 版本。您可以通過(guò)轉(zhuǎn)到 WordPress 儀表板并單擊“更新”來(lái)找到它。您會(huì)看到一條通知，告知您是否正在運(yùn)行最新版本并提供版本號(hào)。

如果您使用的是最新版本的 WordPress，您會(huì)看到如下所示的消息：

如果您運(yùn)行的是舊版本的 WordPress，您會(huì)看到一條看起來(lái)像這樣的消息，其中有一個(gè)按鈕邀請(qǐng)您更新：

您還需要驗(yàn)證您想要的插件是最新的。大多數(shù)插件作者都善于更新他們的產(chǎn)品，但有時(shí)插件會(huì)被放棄，或者更新速度很慢。如果您在 WordPress.org 的插件頁(yè)面頂部看到黃框通知，請(qǐng)注意它。

過(guò)時(shí)插件頁(yè)面上的警告

還可以查看頁(yè)面上的規(guī)格框，了解它使用的 WordPress 版本以及最近更新的時(shí)間。

WordPress 現(xiàn)在是 5.8 版本，所以這個(gè)插件已經(jīng)嚴(yán)重過(guò)時(shí)了。

此示例插件可能無(wú)法在當(dāng)前版本的 WordPress 上正常工作。它還可能存在黑客可以利用的安全漏洞。事實(shí)上，使用舊的、過(guò)時(shí)的插件攻擊站點(diǎn)（包括廢棄的網(wǎng)站）是攻擊者最喜歡的策略，他們希望為自己的惡意項(xiàng)目劫持站點(diǎn)。

如果您選擇的插件兼容，請(qǐng)繼續(xù)嘗試。如果您認(rèn)為它不適合您的網(wǎng)站，請(qǐng)將其刪除。否則，您將不得不繼續(xù)維護(hù)它，即使您沒(méi)有使用它。

這將我們帶到了好的插件變壞的最常見(jiàn)方式。當(dāng)用戶(hù)不更新它們時(shí)，黑客可能會(huì)利用它們。

保持 WordPress 和您的插件是最新的

就像所有用代碼制作的東西一樣，WordPress 和插件會(huì)獲得新功能、改進(jìn)和修復(fù)的更新。有時(shí)這些問(wèn)題是影響插件外觀或操作方式的小問(wèn)題。有時(shí)它們是安全漏洞，需要修補(bǔ)以防止黑客進(jìn)入您的站點(diǎn)。

當(dāng)發(fā)布者宣布安全更新時(shí)，黑客也會(huì)看到它們。他們開(kāi)始檢查尚未進(jìn)行更新的站點(diǎn)——通常使用可以快速大規(guī)模掃描和識(shí)別易受攻擊站點(diǎn)的機(jī)器人。

即使您對(duì)當(dāng)前版本的 WordPress 和您的插件感到滿意，您仍然需要更新。WordPress 和一些插件允許您將它們?cè)O(shè)置為自動(dòng)更新，這是您應(yīng)該做的。對(duì)于其余部分，您有幾個(gè)選項(xiàng)可以讓事情保持最新。

1. 制定您自己的手動(dòng)更新時(shí)間表。

如果您能夠承諾每周至少檢查一次您的站點(diǎn)以獲取更新通知，則此方法可以奏效。如果您在忙碌時(shí)傾向于完成一些小任務(wù)，請(qǐng)?zhí)^(guò)此方法。您最終可能會(huì)遇到站點(diǎn)漏洞。

即使您決定不進(jìn)行手動(dòng)更新，了解如何操作也是一個(gè)好主意。有時(shí)您可能擔(dān)心更新會(huì)破壞您的網(wǎng)站，尤其是當(dāng)您的插件尚未更新以支持最新版本的 WordPress 時(shí)。您需要在手動(dòng)更新之前備份您的站點(diǎn)，并準(zhǔn)備好在出現(xiàn)問(wèn)題時(shí)卸載更新。

正如當(dāng)您檢查正在運(yùn)行的 WordPress 版本時(shí)，您將轉(zhuǎn)到儀表板。單擊左側(cè)欄中的更新，就在主頁(yè)下方。您會(huì)看到 WordPress、您的插件和主題的更新?tīng)顟B(tài)。如果有任何內(nèi)容已過(guò)時(shí)，您可以在此處更新它們。

2.添加安全插件。等等，你為什么需要安全插件？

安全插件通過(guò)掃描您的站點(diǎn)是否存在安全問(wèn)題（包括過(guò)時(shí)的插件和待處理的 WordPress 更新）并在您的站點(diǎn)需要更新時(shí)向您發(fā)送電子郵件通知，為您的站點(diǎn)增加了另一層保護(hù)。

您仍然需要進(jìn)行更新。但這樣您就不會(huì)錯(cuò)過(guò)定期更新之間突然出現(xiàn)的問(wèn)題。

如果您的托管計(jì)劃不包括 SiteLock 等安全服務(wù)，您可以將其添加到您的站點(diǎn)。基本計(jì)劃包括每日惡意軟件掃描、自動(dòng)刪除掃描檢測(cè)到的任何惡意軟件、機(jī)器人攻擊保護(hù)和基本內(nèi)容交付網(wǎng)絡(luò)，該網(wǎng)絡(luò)可自動(dòng)使用最新的 TSL/SSL 證書(shū)保護(hù)您的站點(diǎn)。

其他SiteLock 安全計(jì)劃包括用于您的 Web 應(yīng)用程序的防火墻、DDoS 攻擊保護(hù)、數(shù)據(jù)庫(kù)掃描和連續(xù)（而不是每天）惡意軟件掃描。

3.設(shè)置自動(dòng)插件更新。

如果您的插件沒(méi)有自動(dòng)更新選項(xiàng)，請(qǐng)考慮Easy Updates Manager 插件。是的，一個(gè)用于更新您的插件的插件——pluginception！免費(fèi)版可讓您將部分或全部插件設(shè)置為自動(dòng)更新。這是最有效的方法，尤其是當(dāng)您運(yùn)行多個(gè)網(wǎng)站或運(yùn)行具有多個(gè)插件的高流量站點(diǎn)時(shí)。