Wordpress漏洞经常被利用，及时更新很有必要。一些较好的网站经常被黑客盯上，采用杀毒、删除文件后，仍反复中毒，增加管理成本。总结了一些常用的应对措施，分享给低成本运营的站长们。

文件管理插件漏洞

个人认为插件的漏洞很多，黑客容易利用某些文件管理插件，随意上传木马、主题等，建议大家把根目录下的 /wp-admin/ 下的 theme-install.php 和 plugin-install.php 两个文件删除，有需要安装的时候再加这些文件即可。

后台账号漏洞

当然黑客这个时候一定是已经拿到后台账号了，注意检查一下后台账号，是否新建其他后台账号。如果有，可以用“魔法打败魔法”，保留这些账号，修改账号邮箱、密码，这样黑客只能另外再设置其他账号名，增加了他们的时间成本，他们可能会放弃攻击。

当然后台的密码尽可能复杂一些，用系统自带的随机密码修改最好，破解难度大。建议用数字+字母+特殊符号的组合方式。

留意服务器的病毒提示信息

比如阿里云服务器开通提示安全信息后，能及时收到信息，采用手动查杀。当然黑客喜欢利用半夜的时候操作，大多数运维人员都已经下班，此时网站较容易中毒。只要经常及时操作，增加黑客的成本，慢慢也就不再盯着你了。

其他病毒防护方法

如果网站基本没什么内容可以更新的，完全可以全站禁止写入，只要服务器不被拿掉，就能彻底杜绝中毒现象。其实多数中毒并不是服务器被拿了，而是建站环境或CMS的漏洞容易被机器扫出来加以利用，上传了木马，成为了肉鸡。

当然有条件的站长可以购买服务器主动防护服务（Windows服务器安装杀毒软件防护不了什么），个人认为如果手动处理的管理成本比较高，对于一些经常中毒的服务器，可以考虑备份数据后，把服务器清空，重新安装CMS系统，可以解决很多问题。