请看我写的这个答案,以获得更广泛的解释:
Malware on site
有关摘要:
添加登录限制插件,移动wp配置。php退出公共html文件夹(WordPress将从其根目录中查找一个文件夹,如果它不在那里,请使用正确的文件和文件夹权限不要使用管理员用户名确保数据库中ID为1的第一个用户不是管理员隐藏您使用的WordPress版本(通过删除标题中的生成器标记,使用google获取代码片段,这是一种复制粘贴操作)在构建自定义代码时使用nonce并检查功能使用wordpress文件系统API,而不是编写自己的上载代码,使用LAMP/WAMP/XAMPP在本地开发并定期备份。如果您的网站遭到破坏,只需重新上传您计算机上的内容即可。绝不要使用eval, 这是一个巨大的安全风险Always use the latest version of WordPresswp_ db table prefix将htaccess文件添加到wp admin文件夹中,以密码将其保护到您的IP中,无论输入多么琐碎,都要进行转义和验证
