如何保证安全

保证WordPress安全的实现方法

吃苦耐劳很难。对于博主来说，是永恒的知识。只需要花一点时间马上升级，省去了后期恢复一些疑难问题的大量工作。

吃苦耐劳很难。对于博主来说，是永恒的知识。只需要花一点时间马上升级，省去了后期恢复一些疑难问题的大量工作。

现在，旧版的WordPress和还没有修复漏洞正在被蠕虫攻击。这种特殊的蠕虫(与上一种类似)有一个巧妙的攻击方法:先申请注册一个客户，利用一个网络安全问题(2020年初恢复)让攻击代码按照永久连接实现，让客户获得访问权。然后，如果你查询今天客户的网页，用JavaScript脚本隐藏自己，然后清理自己。所以，当它在你的旧文章里插入垃圾广告和恶意程序的时候，你永远也发现不了。

虽然方法很新颖，但预防措施还是由来已久。当这个蠕虫已经被“清除”:没有被很好的隐藏，然后时尚博主会注意到博客里的所有链接都已经失效很久了，这会让他进行深入的研究，把他的想法带到危害的深度和广度。以前的蠕虫会做傻事，比如破坏你的网站，但这种新的蠕虫真的很安静，无法察觉，所以你唯一会注意到的是它们已经破坏了你的博客(比如之前提到的那个)或者你的网站已经被谷歌清除了。百度搜索是因为你的网站上有垃圾广告和恶意程序。

我这么说并不是在威胁你，只是提醒你，这在过去已经发生过，而且还会更有可能再次出现。

还是那句话，小孔不补孔，辛苦了。升级确实是一个劳动密集型的工作。WordPress社区已经花费了巨大的努力来一键升级。另一方面，恢复一个网站被黑的博客是非常困难的。比如升级只是把钱投入到一些生命力上；被黑网站的修复是心血管固定手术。(对于所需费用，同样如此。)

2.8.4，现阶段全新版本的WordPress，针对之前提到的哪个蠕虫是免疫系统。(2.8.4以前的一个版本也是针对此事的蠕虫免疫系统。如果你已经打算升级你的计划但还没有宣布你的行动，现在就开始做吧！如果你已经升级了你的博客，也许可以督促并检查你朋友的博客或你阅读的文章，看看它们是否有帮助。还是那句话，小孔不补孔，辛苦了。

每当有蠕虫访问时，每个人都可以应用以下三种方法之一:1。阴险的诡计；2.俱乐部计划；3.真正的解决方案；成为安全权威。第一个阴险的伎俩是，你现在可以应用的是隐藏WordPress版本号，然后就无所谓了。呃。。。但是，蠕虫的创造者也会考虑到这一点。他们1.0版的蠕虫可能会检查版本号，但是2.0版只检查特性，版本号根本不管用。

第二种方式是俱乐部计划。为了更好地讨论这种方式，我来介绍一下7年前MarkPilgrim处理垃圾邮件的好文章的内容(比WordPress早一个时代):

从悖论的角度来看，这种方式真正有趣的地方在于，它们都是俱乐部计划，而不是Lojack计划。有两种基本方法可以防止你的车被偷:俱乐部(或盾牌，或汽车安全资源，或其他类似的项目)和它的Lojack。俱乐部计划对于一个铁了心要偷你车的小偷来说是无效的(钻锁芯、拆车方向盘、关俱乐部相对简单)。但是，把目标锁定在一个只是想偷车(不一定是你的车)的小偷身上是很有道理的，因为小偷通常都很草率，都在寻找最容易的整体目标(比如像挂水果一样)。如果不是每个人都配备了Club或者每个人都配备了Club，小偷在所有车上花的时间是一样的，所以他们的选择会给出其他因素。那么你的车被盗的概率和其他车一样。俱乐部不会让小偷停止偷你的车，只是让他改变他的总体目标。(阿龙注:其实社团就是防君子防小人的意思)。

俱乐部式的博客安全应急预案可以很简单(如an。htaccess文档)或复杂的(如双因素身份验证)，然后它们就可以工作了，特别是对于已知的漏洞检测。俱乐部计划可能非常有效，就像应用一个强大而复杂的登录密码一样——没有人会强烈推荐它。(另外一个社团计划是换一个人少用的手机软件。按照这样的构造，可能更像这个软件宣称的极致，更安全。这就是BeOS比Linux更安全的原因。)

在汽车行业，如果有人发明了如何把整辆车转移到“盗车店”，Club可能就没那么有效了。但对俱乐部制作人来说幸运的是，这还没有发生。但是在互联网和手机软件的世界里，同样的事情基本上每天都在发生。这里只有一个真正的具体方案。现在和未来，我唯一能做的保证你博客安全的事情就是不断升级。

WordPress是一个由数百人组成的社区，每天阅读、编码、检查、升级文章，花费足够的精力保证博客的安全系数。并不是我眼光敏锐，因为我不太可能预测和分析这些写垃圾广告的公司，网络黑客，破坏者，骗子以后会怎么想办法破坏你的博客。但现阶段我只知道，如果WordPress还在的话，大家会尽一切可能保证手机软件的安全。大家已经对关键部件和软件进行了一键升级。如果我们寻找一些有问题的领域，你可能会宣布一个恢复补丁下载。请升级，这是唯一一个大家可以互相帮助的地方。