塞纳里奥：

我之前发布过一个wordpress php代码注入senario，网址：https://stackoverflow.com/questions/26826082/what-is-the-highly-efficient-way-to-remove-a-block-of-string-pattern-in-php-file

我发现这种情况经常发生在wordpress的一些网站上，其结果是导致插件崩溃，或无法登录/wp admin，直到您使用我在上述帖子中提到的耗时方法从所有php文件中删除了所有注入模式，但到目前为止，我不知道攻击者在wordpress中注入此类代码的漏洞在哪里。

不过，经过研究，除了定期清理文件备份。我有以下wordpress安全计划来避免注射：

解决方案1。wordpress更新计划

        meaning always check out updates wordpress to latest version
        always check out updates making sure plugins to latest version.

解决方案2。wordpress上的严格文件/文件夹权限配置[php，普通文件，文件夹]

        never allow php file updates on production site, 
        apache chmod set 
        all wordpress *.php files to chmod 644; 
        all normal files  *.js *.css *.html etc to 755; 
        wp-upload folder set chmod to 755
        rest wordpress folder set chmod to 644; 

对于这两种方法，

解决方案1：（关注最新版本的更新，依靠最新补丁修复漏洞，同时在安装wordpress/插件时保留chmod作为默认权限。）

事实上，这非常耗费人力，因为有太多的更新需要处理，你永远不知道cetain插件更新是否会导致与wordpress版本的兼容性问题。而且我认为它不能涵盖我的SO帖子中防止注射的所有内容。此外，若站点已经被注入，并且在进行任何更新过程之前并没有重新激活，那个么它通常会导致插件崩溃，就像我之前多次经历的那个样。但更新计划是加强wordpress安全性最常用的方法，但在更新过程中需要人工监控和维护。

解决方案2：（重点是自定义chmod权限以禁止文件更改）以下是codex关于wordpress chmod设置的参考链接：http://codex.wordpress.org/Changing_File_Permissions

看起来很合理，但必须测试chmod过度保护是否会导致与工作插件不兼容等，因为某些插件需要不安全的权限才能工作。这也意味着可以根据权限配置对生产站点进行少量更改。

那么伙计们，你建议采用哪种方法来保护wordpress php文件不被注入。对上述两种解决方案有何评论。

或者有没有更好的计划来对抗这种代码注入？

（首选较少人工监控的解决方案。）