插件可以为您的小型企业网站做很多事情。您可以使用它们来加快您的WordPress网站加载速度，使您的内容可共享，为您的营销列表收集访问者电子邮件地址，并在搜索结果中做得更好。更好的是，许多可以升级您的网站和商业博客的最佳WordPress插件都是免费的。

确保您选择的插件信誉良好且安全非常重要。不幸的是，人们可以并且确实在利用插件。通常，这涉及将恶意脚本注入到具有安全漏洞的插件中。

这些恶意脚本有什么作用？可能性包括网站接管、间谍软件安装和加密货币挖掘，以及从电子商务网站窃取客户信息和信用卡数据。

这并不是说WordPress不安全。在2021年1月至2021年7月期间，研究人员仅在核心软件中发现了三个漏洞，并且已修复这些漏洞。由于来自几乎同样多的发布者的数以万计的插件，插件出现安全问题的可能性高于平台本身。

您的WordPress插件是否面临威胁？

选择插件有点像买车。当然，您需要性能，但您也需要安全、可靠且易于维护的东西。您选择一家信誉良好的汽车经销商并阅读评论，所以您不会买柠檬。而且您应该从可靠的来源获得评价最高的插件，这样您就不会最终遇到恶意插件或具有已知安全漏洞的插件。

安全专家认为WordPress.org的插件目录是最安全的插件来源。拥有超过59,000个插件，您不会用完所有选项，并且该网站会征求用户的反馈和评论。

WordPress.org上的一些食谱插件

下载前查看这些评论——不仅是星级，还有用户反馈。查看人们喜欢该插件的哪些方面。了解他们在使用原始插件或更新时遇到的任何问题。了解发布者对该插件的支持程度。

还要检查活动安装的数量，以了解有多少用户信任该插件。一个好的插件可能只有几百个用户，但是一个拥有数千个用户的插件却赢得了很多信任。

等等，我的虚拟主机没有为我提供安全保障吗？

您的虚拟主机确实处理了很多安全问题，包括对托管您网站的服务器的物理和数字保护。您的特定托管计划也可能包括您网站的安全功能。例如，HostGator的托管WordPress托管计划包括CodeGuard自动每日网站备份、用于检测和删除站点恶意软件的SiteLock，以及使用SpamAssassin在您域的电子邮件帐户上防止垃圾邮件。

这些保护层可以节省您的时间，因此您可以专注于您网站的特定安全需求：保持您的WordPress版本、您的主题和您的插件是最新的，并确保更新不会破坏您的网站（每天更新的另一个原因备份非常重要）。

请记住：安全功能可能因虚拟主机和托管计划而异。如有疑问，请咨询您计划的支持团队，以确定提供了哪些安全功能。

检查与最新版本WordPress的兼容性

因此，您找到了一个评价良好且用户众多的插件。在您下载它之前，请确保它与您的WordPress版本兼容。（为了安全和性能，您也应该始终在WordPress上更新您自己的网站。）

为确保您的插件和WordPress兼容，您需要了解当前的WordPress版本。您可以通过转到WordPress仪表板并单击“更新”来找到它。您会看到一条通知，告知您是否正在运行最新版本并提供版本号。

如果您使用的是最新版本的WordPress，您会看到如下所示的消息：

您还需要验证您想要的插件是最新的。大多数插件作者都善于更新他们的产品，但有时插件会被放弃，或者更新速度很慢。如果您在WordPress.org的插件页面顶部看到黄框通知，请注意它。

还可以查看页面上的规格框，了解它使用的WordPress版本以及最近更新的时间。

WordPress现在是5.8版本，所以这个插件已经严重过时了。

此示例插件可能无法在当前版本的WordPress上正常工作。它还可能存在黑客可以利用的安全漏洞。事实上，使用旧的、过时的插件攻击站点（包括废弃的网站）是攻击者最喜欢的策略，他们希望为自己的恶意项目劫持站点。

如果您选择的插件兼容，请继续尝试。如果您认为它不适合您的网站，请将其删除。否则，您将不得不继续维护它，即使您没有使用它。

这将我们带到了好的插件变坏的最常见方式。当用户不更新它们时，黑客可能会利用它们。

保持WordPress和您的插件是最新的

就像所有用代码制作的东西一样，WordPress和插件会获得新功能、改进和修复的更新。有时这些问题是影响插件外观或操作方式的小问题。有时它们是安全漏洞，需要修补以防止黑客进入您的站点。

当发布者宣布安全更新时，黑客也会看到它们。他们开始检查尚未进行更新的站点——通常使用可以快速大规模扫描和识别易受攻击站点的机器人。

即使您对当前版本的WordPress和您的插件感到满意，您仍然需要更新。WordPress和一些插件允许您将它们设置为自动更新，这是您应该做的。对于其余部分，您有几个选项可以让事情保持最新。

1.制定您自己的手动更新时间表。

如果您能够承诺每周至少检查一次您的站点以获取更新通知，则此方法可以奏效。如果您在忙碌时倾向于完成一些小任务，请跳过此方法。您最终可能会遇到站点漏洞。

即使您决定不进行手动更新，了解如何操作也是一个好主意。有时您可能担心更新会破坏您的网站，尤其是当您的插件尚未更新以支持最新版本的WordPress时。您需要在手动更新之前备份您的站点，并准备好在出现问题时卸载更新。

正如当您检查正在运行的WordPress版本时，您将转到仪表板。单击左侧栏中的更新，就在主页下方。您会看到WordPress、您的插件和主题的更新状态。如果有任何内容已过时，您可以在此处更新它们。

2.添加安全插件。等等，你为什么需要安全插件？

安全插件通过扫描您的站点是否存在安全问题（包括过时的插件和待处理的WordPress更新）并在您的站点需要更新时向您发送电子邮件通知，为您的站点增加了另一层保护。

您仍然需要进行更新。但这样您就不会错过定期更新之间突然出现的问题。

如果您的托管计划不包括SiteLock等安全服务，您可以将其添加到您的站点。基本计划包括每日恶意软件扫描、自动删除扫描检测到的任何恶意软件、机器人攻击保护和基本内容交付网络，该网络可自动使用最新的TSL/SSL证书保护您的站点。

其他SiteLock安全计划包括用于您的Web应用程序的防火墙、DDoS攻击保护、数据库扫描和连续（而不是每天）恶意软件扫描。

如果您的插件没有自动更新选项，请考虑EasyUpdatesManager插件。是的，一个用于更新您的插件的插件——pluginception！免费版可让您将部分或全部插件设置为自动更新。这是最有效的方法，尤其是当您运行多个网站或运行具有多个插件的高流量站点时。