上个月一个做家具出口的朋友突然微信我:“哥,我网站被Google标红了,说我站可能有恶意内容,我自己一看正常啊!”
我点进去,果然首页没问题,但在海外打开,竟然跳转到赌博黄站页面!
浏览器也弹出:此网站可能包含危险内容
他当场就傻了。
WordPress外贸站本来就要面向全球,一旦被黑,不止客户流失,还会被Google拉黑、广告停投、信用受损……
其实他只是少做了下面这5个最基础的安全动作
1. 修改默认登录地址
/wp-admin 是所有黑客扫站首选路径,太好猜了!
用插件修改登录路径,比如 /my-office,别被机器人一眼识破
2. 限制登录次数 + 开启验证码
暴力破解靠的就是疯狂尝试密码。建议安装Limit Login Attempts Reloaded,配合 reCAPTCHA 提高防御。
3. 禁止文件编辑权限
WordPress后台默认可以在线改主题代码,但黑客一旦进后台就能直接挂后门。
一行代码禁掉 file edit,立马安全+99%
define('DISALLOW_FILE_EDIT', true); 4. 定期备份网站文件 + 数据库
用 UpdraftPlus 等插件自动备份,每周1次,保存到 Google Drive 或Dropbox
一旦出事,能原地“满血复活”
5. 安装安全监控插件 + 实时扫描
推荐 Wordfence、iThemes Security 等插件,可以监测异常登录、挂马、恶意文件变动
他当时没装这些,站都被挂了两天才发现…
我帮他紧急恢复备份、清理恶意脚本、重新提交Google审查,总算把站救回来,但流量、信用早就掉了一半
我说:“安全配置是上线前最该花时间做的一步,不是出事了才补救。”
其实很多东西都能提前搞定,哪怕你预算不多、不会写代码,只要配置做对、逻辑清晰,就能避掉80%的风险