别乱装WordPress安全插件！搞懂Linux防御才是关键

导语： 一句话，建议大家还是少看点什么安全插件推荐的文章，多去理解安全防御思路，多了解 Linux 原理。如果有不明白的，也可以加明月的微信、QQ 咨询沟通，都能让你快速找到解决问题的办法和思路。另外，凡是购买了五洛云服务器的明月会优先响应给你相应技术咨询的哦！

最近，有个购买了五洛云服务器的代维客户技术人员在没有告知我的情况下安装和使用了 Wordfence Security 插件，造成服务器负载卡顿、飙升问题的出现，还好发现的及时才避免了更大的损失（事实证明远程运维监控还是有用的）。

这里并不是说 WordPress 安全插件不好，只是想告诉大家的是这些所谓的安全插件（如：Wordfence Security、iThemes Security、Hide My WPAll In One WP Security & Firewall、SecuPress、Sucuri Security 等等）并不是必须要安装和使用的，尤其是在有专业运维技术人员支持的情况下更是要慎重选择，否则会起到适得其反的作用。

很多 WordPress 新手站长们图省事儿误以为 WordPress 的安全插件可以解决大部分的安全问题，殊不知真正能起到的作用可以用杯水车薪来形容，明月早年间就尝试过很多安全插件，也推荐过几个主流的 WordPress 安全插件，当年都差点付费购买高级版本了，后来就发现在 WordPress 层面使用安全插件是所有防御手段里最 LOW 的选择了，因为“道高一尺，魔高一丈”规则下，安全插件能防御的都是严重滞后的技术，想绕过这些安全插件的方法实在是多不胜数，这就造成安全插件几乎成了摆设的存在，还耗损大量的服务器计算能力，严重的甚至造成服务器负载飙升和居高不下的局面，加上 WordPress 自身插件原理的短板，滥用安全插件还有暴露服务器真实 IP 的风险一起看，这就严重的适得其反了。明月就亲身见过使用安全插件泄露服务器 IP 后招来 DDoS 攻击服务器直接被黑洞封禁的，可以说是惨不忍睹了。

大家有没有想过为什么 WordPress 优先推荐的服务器环境是 LNMP 呢？说白了就是要优先的依托于 Linux 自身的安全性，对于我们大部分 WordPress 站点来说，服务器层面做好 Linux 的安全防护再结合外部 CDN 的 WAF 强化基本就可以保证 WordPress 的安全了，WordPress 只需要负责内容展示即可，这样分工明确互不干扰一起看博客，这也是网站运维工作的主要核心思路，那些什么暴力破解、漏洞扫描、恶意篡改基本在免费 CDN 层面就可以直接应对解决了，Linux 自身也是拥有丰富的基于内核的防火墙应用来应对的，就算是宝塔面板只要用好了也是具备一定的防护能力的，安全上问题其实很多是大家安全思路上不成熟造成的。