Wordpress帖子被污染了，如何预防呢？

我有一个当地健身俱乐部的简单Wordpress网站。我最近决定检查一下，看看是否有什么东西坏了。不幸的是，它的帖子被恶意脚本劫持，插入了一些链接

我想知道这是怎么发生的
有人怎么能用XSS攻击呢
如何防止它再次发生
有用于安全的Wordpress插件吗
如果您有VPS或专用服务器，请检查日志。但愿有人在某处留下了指纹。或者，如果您使用的是共享主机，那么您可以让他们为您调查这一点

大多数情况下，这是通过在字典中找到一个弱密码来实现的。对于任何新的wordpress项目，只需遵循以下步骤，您就可以在将来省下很多麻烦

使用强密码（在具有
大写字母、字母数字和特殊字符）
始终删除管理员用户，并使用另一个用户创建新的管理员帐户
用户名。（通过选择admin作为用户名，50%的工作量是
减少，因为他现在只需猜测密码）
始终将wordpress db表前缀重命名为其他名称。（wordpress在安装时提供此选项是有原因的，这样可以避免sql注入）
如果使用VPS的用户始终不使用root帐户，请始终创建另一个用户并将其用于所有通信。如果可能的话，尝试使用sftp，在这里除了user/pass之外还需要一个密钥文件。因此，任何人都很难拿到钥匙
始终从管理员中删除主题编辑器功能。普通用户不会以任何方式使用它，因为如果有人访问了管理员，他将无法对代码本身进行任何更改
试着使用一个好的防火墙，比如wordfence pro，在那里你可以获得任何活动的支持和报告
<>如果只在你的帖子里，如果他们想张贴到网站上，可能会考虑给客人提供一个验证码。p>
Wordpress非常容易受到此类攻击。你可以做很多事情来阻止这一切。一些简单的提示：

让你的Wordpress核心保持最新，Wordpress的大多数次要更新都是安全更新
有一个体面的主机支持Wordpress。提供Wordpress安装的主机还具有阻止最常见Wordpress攻击的脚本
如果你需要插件：Wordfence和Askimet是很受欢迎的插件，有助于提高安全性
不要在数据库中使用wp_uu前缀，而是将其更改为自定义前缀。如果是自定义的，黑客就得猜前缀
高级提示：本指南提供了一个关于安全性的深入指导
关于它如何发生的问题，上面的链接有一个估计：


41%的用户通过主机上的安全漏洞被黑客攻击
平台
29%是通过WordPress主题中的安全问题被黑客攻击的
他们正在使用
22%是通过WordPress中的安全问题被黑客攻击的
他们使用的插件
8%的人被黑客攻击是因为他们有一个脆弱的
密码