但最近几个月，我客户的几个网站遭到黑客攻击，我很担心这个问题。

根据我的经验，快速连续的黑客模式表明了一个共同的联系。通常是易受攻击的插件/主题或不合格的托管。

如果不考虑密码brootforcing选项，黑客如何访问网站的文件系统并在那里上传恶意文件？

黑客行为本质上是军备竞赛。如果有一种方法可以简单地列举黑客可能发生的方式，那么就有可能简单地关闭所有这些方式。但事实并非如此。

不使用安全插件（如iThemes Security）来保护站点是否真的会产生额外的负载？您对服务器端有什么建议？

我认识的许多开发人员都对WordPress安全插件极为怀疑。有很多装置没有使用它们，而且工作正常。

就个人而言，我认为有必要添加的一个插件是用于双因素身份验证的插件。它导致问题的可能性很低，即使凭据被泄漏，也能保持访问安全。

在没有更新的情况下保护WordPress是真的吗？有时无法自动更新旧项目。有两个网站被黑客入侵：v3。x（可以理解）和v4。x（最新）

不，不是。根据软件的性质，任何大型项目仍包含有待发现的安全漏洞。对于WordPress的每一个主要版本，通常都会有一些小版本与错误修复和安全修复。

WordPress的最新版本开始自动更新安全版本。您也可以考虑选择主要版本，但这会增加未经测试就出现问题的风险。

总的来说，无限期地停留在特定版本的WordPress上是很糟糕的。