最近小雯在接的几个代维客户时发现有客户为了某个插件或者主题竟然禁止了 WordPress 内核的更新,更加严重的是这些站点一律发现了被植入恶意代码和 WordPress 内核文件被篡改的问题,都是上传覆盖了最新版 WordPress 文件后就恢复正常了。
使用 WordPress 一旦发现主题、插件依赖版本了就改放弃和更换了!这只能说明不更新 WordPress 就是在给恶意代码提供方便,入侵篡改行为泛滥,至于危害只有在爆发的时候才能知道,可以说是绝对的隐患了。这种站点说实话任何安全措施都是无效的,因为内部不干净了,外部再多的方法都是徒劳的。
小雯代维的客户都不建议禁止 WordPress 更新,因为每次 WordPress 更新其实都有在修复漏洞,只有紧跟 WordPress 内核更新才能保障 WordPress 自身的安全,毕竟很多的插件和主题不是 WordPress 能控制和监管的,往往很多 WordPress 安全问题几乎 90%以上都是借助插件、主题的代码漏洞突破的。
反正小雯碰到 WordPress 安全问题一般都是在插件和主题里找的,基本十拿九稳能找到问题所在,并且都是更新了 WordPress 后那些不能正常使用的插件、主题出现的问题,所以当你发现你用的某个插件或者主题在更新了 WordPress 就不正常后,第一时间就是更新这些插件或者主题,如果没有更新那就弃用吧,留着就是个后患,指不定啥时候就给你暴雷了!
所以,选择插件和主题的时候“不依赖 WordPress 内核版本”是必须要考虑的一个先决条件,另外就是长期不更新维护的插件和主题也要慎重选择,来路不明的插件主题更是要严防死守,那些所谓的“破解版”的插件主题啥的基本上都会留有后门、木马以及恶意代码,所以一定要小心了!最严密的防守被攻破往往都是内部出的问题。
