作為一個開源程序，WordPress 的代碼暴露在所有程序員眼中，任何bug或漏洞很快會被揪出來，解決掉，從各方面來說，WordPress的安全性足夠高，即便如此，基於WordPress 的站點還是免不了被黑的一天，漏洞可能出現在其他地方，比如：

服務器操作系統的漏洞；同一個服務器上其他站點的漏洞；管理員密碼，FTP密碼被暴力破解；主題或插件的漏洞；登錄信息被截取

WordPress 網站被黑最常見的情況是被插入廣告鏈接和惡意代碼。網站被黑了，我們肯定很生氣，很鬱悶，可這對解決問題沒有幫助。在這種情況下，我們最應該做的是控制一下情緒，清理惡意代碼，恢複網站。

怎麼徹底替換被感染的文件為幹淨的文件恢複網站正常運行

一旦網站被插入了惡意代碼，每一個文件或文件夾都可能被插入惡意代碼，最保險的辦法就是全部替換這些文件，如果網站有備份，直接恢複備份是最快捷的辦法。如果沒有備份，或者備份不可用，我們就需要逐個替換文件了。按照以下步驟逐個替換文件，建議執行下面的操作之前先把被感染的網站備份一下。

網站根目錄除了 `wp-config.php` 以外的其他文件，不包括文件夾
替換 `wp-admin` 和 `wp-includes` 文件夾，建議先徹底刪除這兩個文件夾，再上傳新的上去。

替換 `wp-content/plugin` 文件夾裏面所有的插件為從官方下載的版本。

刪除 `wp-content/uploads` 和 `wp-content/languanges` 文件夾裏面所有的 `.php` 文件。正常情況下，這兩個文件夾裏是沒有php文件的，如果有，肯定就是惡意代碼了。

如果你沒有修改主題，下載原版的主題，替換被黑的主題。如果你修改過主題，最靠譜的辦法就是查看一下每個文件和文件夾，把惡意代碼清除掉。

現在，網站裏面的惡意代碼已被清理完畢。

怎麼防範攻擊提高WordPress的安全性

沒有絕對的安全，只有讓別人攻擊我們的網站時更加困難。下面是提高WordPress網站安全性的幾點小建議，有興趣的朋友可以逐條對照一下自己的網站。

不要使用ftp，ftp密碼是明文傳輸的，很容易被嗅探到，使用sftp或ftps。
不要圖省事使用弱密碼，想更安全一點，開啟兩步驗證。
全站開啟SSL加密，避免登錄信息別同網絡中不懷好意的人截取。
不要下載來曆不明的主題或插件，特別不要使用網絡上分享的高級主題或插件，如果需要，就直接去購買一份，花費遠比網站被黑後帶來的各種損失小。
隨時更新服務器操作系統，WordPress內核，使用的主題和插件。
不要和容易被攻擊的站點放在一個服務器上。
打死也不要和 dede cms 放在一個服務器上。
經常看看網站訪問日志，看是否有異常訪問。
使用fail2ban限制暴力破解。
不要使用admin作為用戶名。
修改 wp-admin 和 wp-login. php 的默認地址。

其實，上面的注意事項大家都知道，很多人會抱著僥幸心理不去防範，直到被黑了才追悔莫及，如果你的網站很重要，請一定要做足安全防範，預防永遠比治療有效。以上是已經自己的經驗總結出來的一點心得，如果你覺得又遺漏的，或者錯誤的地方，方便在評論中指出，我將隨時保持文章更新，以方便又需要的朋友查看。