9 种常见的网站安全威胁（以及如何应对）

很抱歉打扰您，但您的网站并不安全。 这不一定是因为您做了什么，而只是因为互联网上没有任何东西是完全安全的。 每个网站都面临着安全威胁，这些威胁可能会导致网站瘫痪、损坏，甚至更糟。

这是坏消息。 一线希望是，您可以采取很多措施来应对这些威胁，而第一步就是意识到它们的存在。 毕竟，您只能保护自己免受已知可能带来风险的事物的影响。

为了帮助您做到这一点，本文将介绍 WordPress 及其他平台的常见网站安全威胁。 我们将讨论威胁是什么、它们如何运作以及您可以采取哪些措施来防止它们发生。 当您完成阅读后，我们希望您感到有能力保证您的 WordPress 网站安全并免受伤害，这样您就可以专注于真正重要的事情。

为什么关心网站安全威胁？

您的第一反应可能是问自己这是否与您相关。 当然，你经常听说这些大数据泄露和黑客攻击，但这种事情通常不是只发生在大公司身上吗？ 您知道，您的 Facebook、Twitter、Equifaxes 和 Yahoos 等企业拥有值得窃取的信息。

很抱歉打破了你的幻想，但仅仅因为你不是一家价值百万美元的公司，仍然有很多人有兴趣摧毁或破坏你的网站。

仅 2022 年，全球网络攻击就增加了 38%，根据 Verizon 2019 年的报告，小型企业是第一目标，占所有数据泄露事件的 43%。 当这些企业成为网络攻击的受害者时，平均会损失 25,000 美元。 事实上，根据 FBI 的数据，2022 年，网络犯罪仅在美国造成的损失就达 102 亿美元。

然而，这不仅仅是处理和清理攻击的直接成本。 您还需要付出客户流失、停机、工作中断、客户之间失去信任、被搜索引擎屏蔽等代价。

因此，即使是一个小网站，您也可能成为目标。 这尤其是因为大多数攻击都是由扫描网络漏洞的程序自动发起的，直到找到漏洞为止。 因此，如果你给他们留了一个空缺，有人就会试图利用它。

想知道如何保护自己吗？ 让我们回顾一下一些最常见的安全威胁。

网站安全威胁#1：网络钓鱼

_{资料来源：安德鲁·莱文}

网络钓鱼是指黑客试图让您访问恶意网站、单击危险链接、下载受感染的附件或泄露网站登录信息等敏感信息。 大多数钓鱼邮件以假装来自合法来源的电子邮件的形式发生，但是，您也可以通过文本、即时通讯应用程序或虚假的社交登录页面接收网络钓鱼消息。

网络钓鱼的潜在危险

通过网络钓鱼获取您的登录信息可以为攻击者节省大量时间。 他们不必费力地尝试猜测和暴力进入您的网站，只需使用绝对有效的凭据即可。

有了这些，他们就可以在您的网站上自由统治，特别是当凭据具有高用户权限时。 他们可以创建新用户、添加内容和链接、操作文件、创建后门，甚至运行代码。 另外，如果您的网站上保存了敏感信息，例如在线商店中的客户数据，黑客也可以访问该信息。

当然，如果这种情况发生并被公开，这对你的声誉来说是一个真正的打击。 另外，根据您所遵循的隐私法，可能会产生额外的罚款。

如何应对

预防网络钓鱼攻击的最佳方法是提高对网络钓鱼攻击的认识。 如果您收到任何要求您提供敏感信息的消息，您应该立即暂停。 不要发回任何内容，不要点击任何链接，也不要下载并执行附件。 至少，检查发件人电子邮件地址是否合法。 此外，您还应该学习网络钓鱼策略，并对公司中的其他人进行同样的培训。

_{来源：科技百科}

网站安全威胁 #2：(D)DoS 攻击

DoS 代表“拒绝服务”，即有人试图通过非法流量淹没您的网站来摧毁您的网站。 目标是用请求淹没您的服务器，使其无法再处理并停止工作。

DoS 攻击通常通过僵尸网络进行，这意味着计算机已被病毒或特洛伊木马渗透，黑客可以远程控制。 在这种情况下，您还谈到“分布式拒绝服务”或 DDoS。

_{资料来源：Everaldo Coelho 和 YellowIcon / LGPL}

此类攻击旨在损害企业或网站或勒索他们以获取金钱。 它们也是出于意识形态原因而进行的，因为攻击者不同意相关网站所代表的内容，或者因为企业发表的公开声明。 然而，在其他情况下，当黑客试图闯入您的网站时，DDoS 攻击也可以用来分散您的注意力。

结果是什么？

DDoS 攻击的影响是，相关网站变得无响应且真实客户和访问者无法访问。 服务器有太多工作要做，无法正确处理访问，并且对于合法访问者来说加载速度非常慢或根本不加载。

当然，对于大多数企业来说，网站是他们的主要资产之一。 当它变得无法访问时，就会导致业务和收入损失。 DDoS 攻击还会损害您的声誉，因为一些访问者会认为您网站的质量不好。

如何防止 DDoS 攻击

应对此类网站威胁的最佳方法之一是以防火墙或 Web 应用程序防火墙的形式添加另一个安全层。 这些旨在在恶意流量到达您的网站之前将其过滤掉。 这样，攻击甚至不会到达您的网站，也不会造成损害。 另外，如果 DDoS 攻击只是干扰入侵，防火墙也可以提供保护。 Sucuri 和 Cloudflare 是不错的提供商。

_{来源：Cloudflare}

保护自己免受网站安全威胁的另一项不错的投资是内容交付网络或 CDN。 它将您网站的副本放置在不同的服务器上，这使得将其完全从网络中删除变得更加困难。 它还可以使攻击远离您的主服务器。 许多 CDN 都包含 DDoS 保护。

如果您在 WP Engine 上托管网站，则可以使用 Global Edge Security 同时利用这两种方法。 它是一个企业级性能和安全附加组件，包括托管 Web 应用程序防火墙、高级 DDoS 防护和全球 CDN。 简而言之，拥有抵御外部安全威胁所需的一切。

另外，它非常方便。 您只需将其添加到您的计划中，将您的 DNS 记录指向正确的服务器，剩下的事情就会为您处理。 十分简单。 最后，最好设置正常运行时间监控，例如使用 UptimeRobot。 这样，当您的网站无法访问时，您会很快收到警报，以便您可以立即采取行动。

网站安全威胁#3：暴力攻击和撞库

暴力攻击与 DDoS 攻击有些相似，因为它们会自动攻击网站的一部分。 然而，他们并没有阻止流量，而是瞄准您的登录页面，并尝试通过猜测您的登录信息来访问该网站。 此类程序每秒尝试许多不同的常见密码和用户名组合，直到成功进入。

稍微复杂一点的变种是所谓的撞库。 在这里，攻击者使用从其他数据泄露中已知的电子邮件/密码组合，而不是随机登录信息。 这些攻击利用了许多人重复使用其登录信息的事实。

如果攻击者确实成功猜测了您的登录凭据，则结果与“网络钓鱼”部分中讨论的结果几乎相同。

阻止登录攻击

您可以通过多种方法保护自己免受登录页面的攻击：

• 限制登录尝试并锁定经常失败的用户，例如通过限制登录尝试重新加载
• 不要重复使用您的凭据，为您拥有的每个帐户设置单独的密码
• 限制 WordPress 网站上的用户数量，并仅向他们提供工作所需的功能
• 强制使用强密码，例如通过密码策略管理器
• 更好的是，使用多重身份验证
• 关闭主题和插件编辑器，以便攻击者无法从 WordPress 仪表板内部操纵您的文件

网站安全威胁#4：跨站脚本 (XSS)

在跨站点脚本编写中，黑客诱骗网站向受害者的浏览器传送恶意脚本。 由于来源的原因，浏览器信任并执行该脚本。 这通常是通过输入字段发生的，例如在联系表单中。 但是，攻击也可能来自受感染网站的数据库。

可能的结果

成功后，攻击者可以使用跨站点脚本窃取登录数据、安装恶意软件、将用户重定向到另一个站点，甚至操纵他们正在查看的页面。 他们还可以作为其他用户访问相关网站并读取他们的数据。 另外，他们可能能够在受害者的计算机上安装软件。

_{图片来源：米歇尔·巴克尼}

总的来说，跨站点脚本对访问者来说比站点本身更危险。 但是，如果它源自您的网络存在，那么这自然不会给您带来好印象。 因此，为了您自己和您的访问者，您有责任确保您的网站安全。

如何防止 XSS 攻击

在技​​术层面上，防止跨站点脚本编写的最重要步骤是清理和验证数据输入。 这意味着拒绝特殊字符和符号以避免代码注入，例如确保输入不能包含脚本、对象或链接等内容。 PHP 和 JavaScript 等编程语言为此提供了标准函数，WordPress 也有自己的标记用于此目的。

如果您不是开发人员，您的角色是运用良好的判断力，使不遵守这些规则的代码远离您的网站。 这意味着，从信誉良好的来源获取主题和插件，并确保它们得到良好的支持和维护。 另外，不要在您的网站上安装您不理解的代码片段。

网站安全威胁#5：SQL 注入

SQL 注入类似于跨站点脚本。 他们还通过使用输入字段在您的网站上运行恶意 SQL 代码并获得对数据库的访问权限。

如果您的网站容易受到 SQL 注入攻击，攻击者可以使用此技术通过多种方式对其进行破坏：

• 创建具有管理员权限的新身份并获得对您网站的访问权限
• 直接访问服务器上的所有数据
• 销毁/修改数据库使其无法使用

当然，这都不是好消息。

阻止 SQL 注入

这种网站安全威胁需要像跨站点脚本一样保持警惕。 清理、过滤、转义和验证数据输入，并确保对机密信息进行加密。 许多 Web 框架会自动执行此操作。

作为非开发人员，请保持 WordPress 及其组件更新并使用 WordPress 安全插件。 其中许多都具有防止 SQL 注入的功能。 您可以在专门的 WP Engine 文章中找到有关此主题的更多详细信息。

网站安全威胁#6：勒索软件/破坏

勒索软件是一种软件，它会阻止对您的网站或其他企业资产的访问，并且只有在您向攻击者付款时才会再次解锁（有时即使付款也不会）。

污损的类似之处在于，它会弄乱网站的设计或内容，或者留下黑客成功入侵的消息。

在每种情况下，某人都会以某种方式访问​​您的网站，这可能会带来许多负面结果：

• 赎金费用（如果您支付，可能会很昂贵）
• 清理费用
• 销售损失和声誉损失
• 员工因无法完成工作而导致生产力损失
• 由于被列入黑名单而降低搜索引擎排名

如何保护自己

防止勒索软件和篡改攻击的方法是遵循本指南中提到的其他最佳实践来锁定对您的网站和服务器的访问。 确保您的登录信息安全，更新您的网站，并制定备份解决方案，以便您可以返回到网站的早期版本。

网站安全威胁#7：恶意软件和间谍软件

这对网站本身来说并不是一个危险，但可能会发生在您的网站上。 当攻击者获得访问权限时，他们可能会安装恶意软件和间谍软件来感染访问者的计算机。 您被入侵的网站最终会成为进一步推进黑客议程的工具。

会发生什么？

恶意软件对您的声誉构成巨大威胁。 当浏览器或防病毒程序检测到它时，它们将阻止访问者访问您的网站。

此外，搜索引擎可以将您列入黑名单并将您从索引中删除，因为他们不想将用户发送到对他们有害的网站。

当然，两者都会导致大量的流量损失，而且有时即使您解决了问题也很难将自己从黑名单中删除。 没有流量，就没有收入、没有潜在客户、没有客户、没有业务。

防止恶意软件感染

同样，请遵循本指南中提到的做法，以将其他网站安全威胁排除在您的网站之外。 特别是，采用强大的凭据和多因素身份验证，使网站组件保持最新，并对您在网站上安装的内容保持警惕。

此外，使用防病毒软件保持您自己的计算机清洁，并定期扫描您的网站是否存在恶意软件，例如通过 Sucuri Sitecheck。

网站安全威胁#8：中间人攻击

此类攻击在未对其流量使用加密的网站上很常见。 在这里，攻击者拦截未受保护的数据，从而获得登录、支付或其他敏感信息的访问权限。 中间人攻击也会发生在不安全的 WiFi 网络中。

如何保护自己

在网站上，应对这种威胁的首要方法是使用加密。 在您的站点上安装 TLS/SSL 协议并将其切换为 HTTPS。 这会自动加密您的网站和访问者浏览器之间发送的所有信息，从而防止中间人攻击得逞。

此外，使用强密码和更改默认凭据来保护您的工作和家庭 WiFi。 另外，使用公共 WiFi 时要特别小心。 使用 VPN 来保护您的流量，并且仅在绝对必要时才通过公共 WiFi 登录您的网站。

网站安全威胁#9：供应链攻击

供应链攻击是指攻击者通过第三方软件渗透网站。 例如，当有人侵入与许多网站集成的 SaaS 产品，然后在此过程中获得对这些网站的访问权限时。

近年来，我们在 WordPress 中看到了供应链攻击。 在一种情况下，攻击者故意在插件中注入恶意代码。 还有一次，他们闯入了 WordPress 扩展的分发服务器以执行相同的操作。

在大多数情况下，这些攻击很快就会被发现，并且相关插件已被禁止或修补。 但这仍然是需要注意的事情。

如何预防

防止供应链攻击的最佳方法是遵循在网站上使用插件和第三方代码的最佳实践：

• 仅使用插件和主题等扩展的信誉良好的来源
• 将集成保持在最低限度，仅安装您真正需要的
• 如果所有第三方内容仍然相关，请定期审核您的网站
• 使用活动日志来发现您网站上发生的可疑行为

远离网站威胁

安全威胁是每个网站所有者都必须面对的。 它们是在互联网上运作的一个不幸的现实。 值得庆幸的是，其中许多问题可以通过实施一些常识性最佳实践来预防：

• 对您收到的消息、您点击的链接以及您下载的附件保持警惕
• 投资防火墙、CDN 和正常运行时间监控
• 使用强密码，限制用户能力和登录尝试，并设置多重身份验证
• 最大限度地减少网站上插件和主题的数量，并确保从合法来源获取它们
• 作为开发人员，清理和验证您的数据
• 让您的网站及其所属的所有内容保持最新
• 使用 HTTPS 加密您网站的流量
• 制定备份解决方案，以防出现问题
• 不要在不安全的网络中输入敏感信息

遵循这些应该足以保护您免受大多数常见网站安全威胁。 保持警惕！

您建议采取哪些其他方法来保护您的网站免受安全威胁？ 在下面的评论中分享您的想法！