wordpress可以轻易入侵，还是关于任何网站？是什么原因？

Question

我的一位朋友，他是RIA开发人员并执行动作脚本。他创建了一个博客并开始研究它，经过一段时间后，他发现他的博客是用WP开发的，而且还写了一些文本，所以他只是去了FTP并删除了所有文件。

所有这些看起来WP网站被黑客入侵的可能性超过了RoR或Django或CakePHP或kohana e.tc中构建的网站。这是真的吗？实际上黑客攻击的原因是什么？ WP中确实存在一些安全漏洞吗？

我是一名PHP开发人员，也开发了许多自定义网站，并且还在WP和joomla e.t.c中工作过。但从未听过这样的事情。如果有问题那么SSL可以解决这个问题吗？对此发生的事情感到困惑......

如果您有任何想法，请告诉我，以便我能理解并摆脱好奇心。

Answer 1

Wordpress是中等安全的，但上周我的两个WP博客被黑了，不得不重建。在这个过程中，我学到了一些有用的提示。其中一些提示适用于所有站点，一些特定于WP。

1. 始终升级到WP的最新稳定版本。较旧的版本可能具有已知的漏洞。
2. 您可以手动执行几项操作来保护WP站点，而是使用一个或多个已建立的安全插件。现在我正在使用PBS（Bullet Proof Security）和WPD（Website Defender）。遵循这些插件的指导;花点时间好好学习它们。
3. 运行Akismet（或类似）以最大限度地减少恶意垃圾邮件帖子。
4. 关闭远程发布（ATOM和XML-RPC），除非您的商业模式需要它。
5. 强化您的管理员PW（不要将管理员帐户称为ADMIN）。
6. 不要在您的网站上安装大量实验性插件来试用它们。为此创建一个沙箱站点。将现场安装的插件保持在最低限度。

希望这有帮助。

Answer 2

Wordpress是一种相对安全的产品。然而，与任何事情一样，没有什么是100％万无一失的。不幸的是，对于广泛使用的产品，如Wordpress，一旦发现漏洞，它就可以在0天的漏洞利用网站上广泛使用，并且许多黑客将在网上搜索以利用这种漏洞利用。

然而，Wordpress的工作人员可以非常快速地修补这些错误，这是一个加分。此外，由非Wordpress团队编写的插件的安装可以开放利用，并且是黑客最常见的方式。如果存在问题，SSL证书将不会阻止该网站被黑客攻击。只是意味着表单数据将在具有更好加密的位置之间传递。我希望这有帮助。