WordPress 安全专家故事和来自我们会员的 40 个新安全提示！

我们最近采访了四位 WPMU DEV 成员，他们提供专业的 WordPress 安全服务，关于保持 WordPress 的安全.他们是这样说的……

本月早些时候，我们发布了一系列关于 WordPress 安全的教程，在我们的会员论坛上就 WordPress 安全问题进行了讨论，并提出了采访 WordPress 安全专家的请求……好吧，你猜对了……WordPress 安全！

然后，我们整理并发布了专家的回复以及成员在论坛中提出的许多重要提示.

以下是我们涵盖的主题:

• 认识我们的 WordPress 安全专家
• 我们的专家对 WordPress 安全性的评价
  1. 您通常使用哪些类型的 WordPress 网站?
  2. 您在 WordPress 客户端网站上遇到的最常见的安全问题是什么?
  3. 您必须为客户解决的最糟糕的安全问题是什么?
  4. 您能否分享一下您用来保护 WordPress 网站安全的流程，以及您如何处理客户网站上的安全漏洞?立>
  5. 您使用或推荐哪些 WordPress 安全插件?为什么?
  6. 您建议 WordPress 用户在保护网站安全方面不应忽视什么?
  7. 您有想要与其他 WordPress 网络开发人员分享的安全提示或最喜欢的资源吗?
  8. 您还想添加任何与 WordPress 安全相关的内容吗?
• 来自会员的其他 WordPress 安全提示
  1. 您的网站是否受到在线攻击?发生了什么，您是如何解决的?
  2. 您离不开哪些安全工具?
  3. 您上一次彻底检查 WordPress 安全性是什么时候?

事不宜迟，让我们认识一下我们的 WordPress 安全专家，看看他们对确保 WordPress 网站的安全有何看法.

认识我们的 WordPress 安全专家

Richard van Denderen 是 WPHelpdesk.nl 的创始人.

Richard 从 14 岁开始创建网站，并于 2008 年开始使用 WordPress.

他作为 Meetups 和 WordCamps 的组织者和志愿者，以及 荷兰语 WordPress.org 支持论坛.

正如 Richard 所说，"在 WPHelpdesk，我们帮助排除故障和解决问题，尽管我们更愿意预防它们.我们解决的一个常见问题是网站由于恶意代码而出现错误或奇怪的重定向.多年来，我们已帮助数百名网站所有者清理被黑网站."

Jesse Waitz 在 FlagstaffConnection.com 在美国弗拉格斯塔夫 AZ 工作.

作为本地 WordPress 开发人员和 Codeable.io 专家，Jesse 自 1999 年以来一直在托管和开发网站.

他的专业知识来自长期、来之不易、有时甚至是痛苦的经历.正如他所说，"经过 20 多年的托管网站，您会发现哪些有效，哪些无效.我犯了书中的每一个错误，但我从这些错误中吸取了教训，并逐渐变得更好，并且更加了解什么有效，什么无效."

Cliff Rohde 是 GoatCloud Communications LLC，他于 2013 年成立.

Cliff 热衷于通信和技术的交叉，并帮助许多不同类型的企业和非营利组织在网上蓬勃发展.

Cliff 于 1995 年建立了他的第一个网站，并在 2007 年左右建立了他的第一个 WordPress 网站.他是一名前律师，离开了法律行业，专注于 GoatCloud.

Logan Lenz，是 Awesome Website Guys.Logan 是一位网站创新者和数字营销人员，拥有超过 20 年的行业经验.

作为数字业务机构的所有者，Logan 利用大量技术、工具和资源来确保满足客户的数字需求等.

正如 Logan 所说，"我几十年来一直在使用 WordPress，因为这个开源平台提供了完全的定制，这是真正个性化每个客户网站所必需的.作为一个开源平台，我的机构可以使用我们的首选插件来构建快速、安全、优化和相关的客户网站."

我们的专家对 WordPress 安全性的评价

1.您通常使用哪些类型的 WordPress 网站?

Richard:我会将我们客户的网站描述为中小型网站和电子商务网站.我们合作的大多数客户都有一个或多个人担任内容经理或作为整体进行沟通.我们接管了他们网站的技术部分.

Jesse:我的时间主要用于开发、维护和托管基于 WordPress 的网站.我主要在中小型客户网站上工作.我有大约十几个成功的电子商务网站和大约十几个多站点设置.我在 7 台服务器上托管了 200 多个站点，为大约 150 个 WordPress 站点提供持续维护和安全保护，我有一个单独的邮件服务器，我为 60 多家公司托管 180 多个电子邮件帐户.

Cliff: GoatCloud 维护的站点主要面向小型企业和个人从业者.也就是说，我们还为大型非营利组织和中型企业维护了许多网站.

Logan:Awesome Website Guys 专门与其他小型企业合作，其中包括各种不同的行业网站.这包括电子商务、多站点、非营利组织、餐厅、社区、酒店、活动、建筑、汽车、健康和保健、健身、房地产、其他机构等等.

2.您在 WordPress 客户端网站上遇到的最常见的安全问题是什么?

Richard:最常见的安全问题是维护过期.不再从开发人员那里接收更新的插件，有时最新版本是 9 多年前发布的.与此相关的通常是高级插件和主题，没有有效的许可证，导致无法报告可用更新.然后最终用户确信他们是最新的，因为 WordPress 没有显示这些可用更新.

我经常遇到的另一个常见安全问题是同一个(预算)网络托管包中的多个站点，它们之间没有很好地相互隔离，从而导致跨站点污染.

Jesse: 对 WordPress 登录的蛮力攻击是目前对我来说最普遍的问题.但是，Defender 会为我处理这些.我会说下一个最常见的向量是通过弱或过时的插件和主题.我通过每周更新我所有网站的核心、主题和插件来解决这个问题.使所有内容保持最新状态是解决此问题的最佳方法.

多年前，我曾经将我的网站放在提供电子邮件和托管服务的单一服务器上，这确实引起了很多问题，要么网站活动会影响电子邮件发送，要么电子邮件病毒可能成为攻击者的特洛伊木马，但在过去的几年里，我将电子邮件与不同服务器上的站点分开，我很高兴，交叉问题消失了，而且更加安全.

Cliff: 很多时候，当我继承一个网站时，我发现网站所有者或网站开发者在设置帐户时是多么松懈.软件经常过时，要么密码不够用，要么用户名很容易猜到，或者两者兼而有之.通常情况下，继承的站点在站点或主机上没有旨在保护站点的软件.

Logan:对于客户的 WordPress 网站，最常见的安全问题是 DoS 攻击.对于刚接触这个术语的人来说，DoS 攻击是指同时向客户端的网站发送多个请求，这会使服务器过载并使网站崩溃.黑客可以在客户的站点上使用数据查询，这可以添加、删除甚至窃取他们的站点内容.另一个常见的安全问题是黑客侵入客户的网站，然后在那里添加新用户、随机内容(通常是代码或虚拟内容)并修改管理网站设置.

3.您必须为客户解决的最糟糕的安全问题是什么?

Richard:我见过的最严重的安全问题是一个拥有八个网站的托管帐户.只使用了 1 个网站并且有各种各样的问题，他们已经尝试过自己备份的东西，但这没有帮助.在他们向我们寻求帮助之前，还有另一位"WordPress 开发人员"本应解决问题.他向他们出售了一个全新的网站，该网站在一天左右的时间内再次被"黑客入侵".

当我开始解决这个问题时，很明显原因出在其他 7 个网站中的一些网站，在托管包中，这些网站不再使用和维护，但仍然在线.一切只为域名.从 12 年前开始，那些旧网站就有一些非常旧的 Mambo、Drupal 和 WordPress 版本.在主网站收到自己的托管包后，只需进行一些清理，黑客很快就解决了.客户决定稍后删除其他 7 个网站，因为这些网站不值得花钱修复.

Jesse:作为 Codeable 的专家，我一直在帮助客户进行黑客清理.这些不是托管在我的服务器上的人，而是迫切需要的人.我有一个客户端被一个过时的写得不好的插件破坏了.攻击者能够在站点上创建一个用户，通过 SQL 注入将用户提升为管理员，然后作为管理员，他们在站点的每个页面上注入垃圾内容.这是不可见的内容，它隐藏在页面上(即白底白字)，旨在帮助他们对非法产品进行 SEO.

此内容使他们的网站在 Google 搜索中被列入黑名单，浏览器不会在没有出现红色警告页面的情况下加载该页面，并且 Google 搜索结果显示"警告，此页面已被黑".

攻击者还利用他的访问权限将代码注入网站的每个插件和主题中，这样如果你试图删除管理员用户并清理内容，他就会在整个网站上安装特洛伊木马，让他回来并重复他的攻击.

这项工作需要删除用户，替换站点上的每个插件和 wp 核心文件，用我的眼睛扫描主题中的每个文件以确保删除所有注入的内容，然后通过以下方式分析数据库页面页面以确保删除所有垃圾内容.然后我安装了一个插件组合，我依靠这些插件来锁定这个站点并防止这种情况再次发生.最后，我不得不通过他们的搜索控制台向 Google 提交删除黑名单的请求，并向他们保证该网站不再被黑客入侵.

这一切已经过去一年多了，再也没有发生过.

Cliff:最糟糕的情况是在我参与该业务之前网站遭到黑客攻击.我受雇来消除黑客行为并维护网站的发展.谢天谢地，黑客只是在网站上强加了无关的数据，以及指向第三方不良行为者网站等的链接.使问题复杂化的是它是一个多站点安装.花了好几个小时来处理 WordPress 表格以清理所有内容！

Logan:我们必须阻止一些非常智能的网络钓鱼诈骗.我记得有一天，一位名叫恐慌的客户刚刚意识到他们将银行凭据提供给了他们当时认为是他们的首席财务官的人.瞧，我们后来发现是一名黑客在设法获取可能为他们带来金钱的信息之前渗透了各种客户的系统.这个问题最终在失控之前得到了解决，但它在某种程度上敲响了警钟，因为它关系到高安全性在业务中的重要性.

4.您能否分享一下您用来保护 WordPress 网站安全的流程，以及您如何处理客户端网站上的安全漏洞?

Richard:我的过程中的第一点是检查网站是否有自己的托管包，或者有多个 &旧网站.

然后，文件权限和限制公共访问以及在不需要的文件夹中执行.php 文件.此外，检查用户及其角色、待定更新/过时的主题和插件.此外，审核所有存在但未积极使用的插件和主题.

总而言之，我目前有一个广泛的清单，每当我遇到好的补充时，我都会使用它并不断更新新的要点.

当发生违规时，这在一定程度上取决于它是哪种类型的违规.一般来说，我做的第一件事是在.htaccess 中添加拒绝所有内容，然后查看日志文件以确定违规的方式和内容.

我维护的客户站点中的绝大多数违规行为都是由于被解雇和下岗的员工试图造成破坏而发生的.在这些情况下，是撤销访问权限、更改密码并审核他们最近几个月所做的更改.

我注意到很多(较小的)公司很容易为员工提供各种系统和工具的登录凭据，但没有考虑如何撤销访问权限以及所涉及的后果.

Jesse:这不是一个容易回答的问题.我结合使用基于服务器和基于站点的解决方案.

在服务器上，我有几个 bash 脚本，它们每晚都会在服务器上自动运行以锁定一切.一个脚本每晚运行 rkhunter、LMD 扫描和 clamscan，以搜索和删除注入的内容或文件.我还有一个脚本，用于检查每个面向公众的文件和文件夹，并确保它们使用正确的权限(文件为 644，目录为 755).如果脚本发现任何内容，它会即时更改它们.我还有一个脚本，可以每天将我的所有站点和数据库备份到场外 Digital Ocean 空间.

在站点上，我使用 Defender 锁定所有正常攻击点，并使用名为 NinjaFirewall 的程序为我的站点创建 Web 应用程序防火墙.这是一个插件，但它实际上创建了一个防火墙，在读取一行 PHP 或运行单个 MySQL 查询之前加载该防火墙.这是您可以实施的最重要的基于站点的解决方案.我选择NinjaFirewall 是因为它是免费的，Wordfence 的WAF 很贵，NinjaFirewall 的WAF 和Wordfence 的WAF 一样好，其实我觉得更好，因为它只做WAF，而且做的非常好.

关于违规，每个问题都有不同的解决方案，但我通常会尝试弄清楚它们是如何进入的，然后从那里开始工作.

Cliff:首先，更新所有软件:WordPress 核心、插件、主题和托管环境(例如 PHP).我使用不容易猜到的用户名.我使用安全密码(长且不可猜测；密码管理器派上用场).我在网站上安装了基本的安全软件——Wordfence 和反垃圾邮件.我通常会通过要求重新验证码来保护登录，并且在某些情况下，需要两个因素才能登录.对于很多站点，我也会将它们放到 Cloudflare 网络中.Cloudflare 本身提供了安全增强功能，我还在 Cloudflare 中创建了防火墙规则，旨在阻止不良行为者进入网站.

Logan:为了确保客户的 WordPress 网站安全，我们结合了安全最佳实践和可靠的安全插件，以帮助我们持续监控和防御网络攻击和威胁.与其他网站代理机构一样，网络安全是我们的客户和我们自己的首要任务.为了提供额外的安全保护，我们最近与 Protected By Dragon(一家数字安全咨询公司)建立了新的安全合作伙伴关系，以帮助保护对客户最重要的东西.

对于安全漏洞，当我们客户的网站出现危险信号时，我们会定期收到报告和通知.我们的服务器不仅会检测不良行为者和不规则活动，还会在必要时限制站点访问.因此，我们可以立即识别安全漏洞，评估损害，并在检测到漏洞时通知客户.

5.您使用或推荐哪些 WordPress 安全插件?为什么?

Richard:老实说，除了同样托管在 WPMU DEV 的网站之外，我有一段时间没有使用 Defender.2016 年，当 Defender 还很新时，我使用了它，但它有时会导致某些供应商的 CPU 出现问题.我可能应该再用它做一些测试，因为 5 个互联网年是很久以前的事了，所以这种体验甚至不再重要.

现在从推荐和检查方面来看 Defender，Defender 看起来不错，日志和扫描也是不错的功能.我也认为 GOTMLS 是一个不错的插件，它通常在扫描过程中提供可靠的结果.

杰西:见上面的#4.

Cliff:我主要使用 Wordfence，包括它的 Wordfence Central 界面，它允许通过一次登录管理多个站点.我不熟悉 Defender.

Logan:过去，我们主要使用 WPMU Defender 作为我们在 WordPress 上的首选安全插件.这个插件有效，易于使用，并允许用户为客户设置每周报告.这些报告可以包括从 SEO 到安全更新的所有内容.虽然我们很喜欢使用 Defender，但我们正在过渡到称为 InfiniteWP 的新安全解决方案.此举将使在中心位置管理我们客户的网站以及发送每周自动安全报告变得更加容易.

[编者注:WPMU DEV 的 The Hub 让您可以使用 Defender 管理"无限"WP 站点的安全性；) ]

6.在保护网站安全方面，您建议 WordPress 用户永远不要忽视什么?

Richard: 删除非活动用户，尤其是具有管理员角色的用户.使用强密码，并尽可能让每个人使用自己的登录详细信息.不要与多人共享一个帐户.在可能的情况下使用 2FA.

杰西:更新，更新，更新！和强密码.如果您的客户足够精明来处理它，那么 2fa 可能是您可以实施的针对 WP 登录的暴力攻击的最佳防御措施.

Cliff:我在问题 4 的回答中提到的一切！

Logan:作为 WordPress 用户，您永远不应忽视保护您网站的数字安全措施.如果这样做，您可以通过使其更容易受到网络攻击和威胁来破坏您的网站.根据您拥有的 WordPress 网站的类型，这可以让黑客轻松闯入您的网站、窃取您的网站内容并更改管理设置以阻止您进入您的网站.这将导致您在网站上投入的所有时间、精力和金钱损失殆尽，这对企业来说可能是毁灭性的.有很多免费的 WordPress 安全插件可以轻松防止网络攻击，因此建议用户不要忽略为其站点使用安全插件.只需点击几下即可轻松完成，他们的网站比以前更安全.

7.您有安全提示或最喜欢的资源要与其他 WordPress 网络开发人员分享吗?

Richard:我想很多专业人士已经熟悉 WPScan.com(以前称为 wpvulndb).我强烈推荐他们的邮件列表.其中大部分现在都在付费墙后面，但在我看来，它仍然值得.它对于查找插件很有用，新漏洞的电子邮件警报非常有价值.

此外，我不能不提一下 Sucuri、WordFence 和 NinTechNet 的博客，他们似乎总是非常详细地了解新漏洞！

Jesse:首先，我知道您可能不想听到这个，但我使用 MainWP 进行我所有的站点维护.其次，良好的托管可能是您可以做出的最佳投资.如果您负担不起像我这样的人为您管理您的网站，请不要使用廉价主机.寻找一项可以每周为您保护和更新您的网站的服务(这不是 GoDaddy 或 Bluehost).一分钱一分货…… 第三，不要在同一台服务器上托管您的网站和电子邮件！最后，永远不要使用使用 cPanel 的主机.它很慢，已经过时，并且它在服务器上打开了很多几乎从未使用和/或不应该使用的东西(例如网站服务器上的电子邮件).我想我的肥皂盒咆哮已经结束了！

Cliff: 不良行为者喜欢点击 WordPress 登录并试图强行进入.Wordfence 在阻止太多不良尝试方面做得很好.但我还在 Cloudflare 为许多客户端设置了防火墙规则，以阻止尝试访问登录的外国 IP.显然，如果网站所有者需要人们能够在美国以外的地方登录，这将不起作用，这种情况越来越普遍.但许多美国小型企业对从外国 IP 访问网站没有必要或兴趣，更不用说登录 URL.

Logan:在网站安全方面，过于安全总比后悔好.网络安全每天都在变得越来越先进，黑客正在寻找漏洞来损害您客户的网站.通过不断研究最佳安全实践、为您的客户使用最好的安全插件以及定期监控客户的站点来随时了解最新情况.大多数安全插件都为您提供设置自动每周报告的选项，客户可以在其中接收有关其站点的关键信息.如果存在安全漏洞，这是解决和修复漏洞的理想机会.因此，您客户的网站更安全，更不容易成为黑客的下一个目标.

8.您还有什么要添加的与 WordPress 安全相关的内容吗?

Richard:安全插件是一种工具，而不是解决方案.

Jesse:我想我上面已经涵盖了所有内容.

Cliff:继续宣传有关安全的信息！

Logan:如前所述，WordPress 安全性将继续发展和改进.这是个好消息，因为网络犯罪分子也在不断发展.如果您尽职调查并随时了解当前的网络攻击和威胁，这可以帮助您实施必要的插件和技术，以确保客户网站的安全.

来自会员的其他 WordPress 安全提示

除了接受采访的专家提供的许多优秀观点外，我们还举办了一个关于 WordPress 安全性的论坛讨论，我们向会员提出以下问题:

1. 您是否曾经运营或管理过遭受在线攻击的网站?如果是这样，请告诉我们发生了什么问题以及如何修复！
2. 您离不开哪些安全工具?
3. 您上一次对 WordPress 安全性进行彻底检查是什么时候?你认为这是你需要花更多时间做的事情吗?

以下是他们的一些回答:

1.您的网站是否受到在线攻击?发生了什么，您是如何解决的?

我经常看到的是一个被忽视的网站.多年没有更新或没有许可证的高级主题/插件是罪魁祸首.还曾经进行过一次恶意软件清理，有人向我邮寄了 WordPress 密码，该密码实际上是最常用的不安全密码的前 10 名.– 理查德

幸好没有.感谢 Defender、强密码和 2FA.– PS

是的，有人获得了托管帐户的访问权限并删除了该站点和所有备份.入侵者猜到了客户的密码(即他们的公司名称和数字 1).启动新用户，更改密码，启用 2FA 并从离线备份中恢复站点.– 克里斯

我能够使用 Defender Pro 修复的最后一个客户并将其全部清理并重新提交给 Google，客户非常感谢！让我看起来像超级英雄！谢谢大家！ – 维多利亚

我记得有一次客户打电话给我，因为他们的网站(不是我创建的)被黑了.这很难，因为我没有创建网站，我不知道插件之间的依赖关系等等.我花了一些下载/扫描/清理/重新上传来填补所有安全漏洞，我最终要求所有员工更改他们的邮件密码和所有密码以添加安全层.– Guigro

我接管了两个被黑客入侵的网站.两者的问题都是过时的核心和插件.幸运的是，他们都向我提出了撤下被黑网站并创建一个新网站的请求，因此在构建期间使用即将推出的页面进行全新安装.– 基思

是的，几年前有一个网站成为脚本注入的受害者，在共享主机上使用一些过时的插件，清理涉及大量手动清理文件.那时我了解到甚至需要密码之外的安全性.最近的蛮力登录尝试，Defender 为我锁定，但我确实更改了管理员登录 URL，&从那以后，事情一直很平静.– 丹尼

是的，我的网站不止一次被黑客入侵.我有 WebARX，但它仍然被黑客入侵.我使用 ELI 的 Anti-Malware Security 和 Brute-Force Firewall 来清理它.安装并运行该程序，它清除了所有恶意软件.– 莎拉

在 15 年的 WordPress 和 20 年的 Web 开发经验之后，我处理了许多被黑网站.从 DDoS 和蛮力到愤怒的前妻登录并用不那么讨人喜欢的照片替换她丈夫的所有博客文章图像.在大多数情况下，我发现恢复备份最快和最简单.如果一个不存在，那么我们必须以艰难的方式去做，并根除恶意内容并将其删除，或者有时完全重建站点.– 狼主教

我曾致力于清理几个受感染的 WP 网站.几乎每次都是因为缺少插件或 WP 更新.– Catalin I.

人们不断尝试登录我的帐户，对于 WordPress，Defender Pro 会有所帮助.我也收到了很多垃圾邮件，因为我使用了一个名为 Stop Spammers 的插件.许多机器人和黑客以插件文件路径为目标来显示站点信息.– 乔纳森

2.您离不开哪些安全工具?

没有插件可以为您提供 100% 的安全性.大多数情况下，用户/站点所有者以一种或另一种方式有过错或犯了错误.您可以在没有任何工具或插件的情况下大量强化您的 WP 网站.您不应该没有的东西是您 PC 上的防病毒程序.无论您的站点安全性有多好，如果您的 PC 上有键盘记录器，您就大功告成了.– 理查德

ELI 的反恶意软件安全和蛮力防火墙.现在，所有 WPMUDev 插件.– 迪亚兹

备份，当然.– 阿尔瓦罗

后卫.我在每个 WordPress 安装中都需要它.我还需要在每个带有评论部分的站点上使用 AntiSpam-Bee.– PS

Defender Pro，真不敢相信我花了这么长时间才找到你！！！！！！ – 维多利亚

备份工具、迁移工具、扫描仪和防火墙.– djohns

后卫.我曾经有一个 Sitelock 帐户，但最终意识到它们是浪费金钱.然后我使用了一些不同的 WP 插件，但后来用 Defender 替换了其中的大部分.– kahnfusion

我非常重视安全.我没有任何网站被黑.我主要使用 Wordfence 和 Defender.同时密切关注漏洞 WPSCAN 数据库.经常更新，备份.– 芯片

几年来，Defender Pro.学习曲线很容易接近，但我很惊讶我仍然每个月都在学习.关于推荐，如何正确设置它们，如何避免垃圾邮件等等.– Guigro

Defender 和 WPMUDev 托管.它非常易于使用，安全标头 + 漏洞扫描 + WAF 的所有选项表明开发人员正在考虑正确的事情.– 菲尔

使用 Defender，我会在 60 分钟内 3 次登录失败后阻止 IP，而不是像 Def​​ender 默认那样在 5 分钟内失败 5 次.我阻止了一个小时到一个星期.我还在 Defender 中使用了登录掩码、禁止的用户名和其他功能.– 托尼

Defender 和 WPMU DEV WAF.– 基思

积极维护客户安全的托管、定期备份、防火墙等2FA – 丹尼

WAF 很大.在它开始之前停止它们.我还使用 Defender，它有助于将一大堆常见的安全措施集中到一个地方.– 李

ELI (gotmls) 的反恶意软件安全和蛮力防火墙，这是一个很棒的插件，最好的部分是它的价格合理，不像其他非常昂贵且效果不佳的插件.不幸的是，它仅用于清除恶意软件，而不是检测它，因此需要另一个插件.– 莎拉

Defender、WPScan、SQLMap.– 狼主教

从安全工具的角度来看，我会说 Malwarebytes &现在用于网站的 Defender Pro.但是，也热衷于 Windows 安全.– Shiv Patel

3.您上一次对 WordPress 安全性进行彻底检查是什么时候?

我密切关注我维护的所有网站，并跟踪所有插件和主题漏洞.当没有发现可疑行为时，至少每年进行一次彻底检查.到目前为止，*knock on wood* 有 1 个我负责的 WP 站点由于零日漏洞而被黑客入侵.此外，曾经我的虚拟主机提供商成为勒索软件黑客攻击的受害者.幸运的是，我有自己的异地备份，因为与此同时，他的备份服务器损坏了.几个小时后，我又回到了另一个主机上.他的其他客户离线了 3 天.– 理查德

我几乎每天或至少每周检查一次 – Diaz

至少每周一次.– 克里斯

设置 Defender 后，我通常每周检查站点.感谢 Defender，我不需要像以前那样花太多时间在上面了！ – 维多利亚

我最后一次花时间在安全上是几周前我在另一个网站上设置 Defender 时.一旦我设置好一切，我就不会真正关注安全性.只要我保持定期离线备份，我就不再担心被黑客入侵.– kahnfusion

我尝试每两个月花半天时间好好检查一下我管理的 20 个网站.对我来说似乎很公平，因为我偶尔会阅读 Defender Pro 摘要并设置好我的通知，以确保在发生某些事情时收到邮件.– Guigro

我不做具体的深入研究，因为我只是将 Defender 内置到我的流程中.– 菲尔

我仔细阅读了 Defender 的报告，并主动禁止 IP 进行任何有点可疑的活动.一般来说，我相信 Defender 和 WPMU DEV 可以为我确保安全.– 基思

我确保每月为我的所有客户运行一次完整的扫描/审查.对我来说似乎是合适的数量.– 李

我们每天都会对每个站点进行扫描.我们还进行更深入的半年度安全审查，其中包括对客户的网站进行渗透测试.– 狼主教

我的目标是在我托管的每个站点中安装所有可用插件时进行分步检查.但是 WP Security 是所有站点的一个重要方面.– Shiv Patel

我的工作协议包括对我管理/运行的网站/服务器进行每周例行安全检查和每月深度安全检查.– Catalin I.

感谢所有参与我们采访和讨论的人.