WordPress 容易受到黑客攻击的 22 种方式

已发表: 2022-11-08

WordPress 非常受欢迎。 无法回避这个事实。

根据 W3Techs 的数据,截至 2022 年,WordPress 目前拥有可识别 CMS 网站的 64.3% 的市场份额。

WordPress 特别容易受到恶意攻击,不是因为它不安全,而是因为它非常受欢迎。

但正如蜘蛛侠所说,“能力越大,责任越大”,WordPress 也是如此。 也就是说,“随着黑客行为的普及,黑客攻击的数量大幅增加。”

现在,不要让这让你失望。

是的,WordPress 比其他 CMS 更容易受到黑客攻击。 但它仍然是一个很好的平台。

实际上只需要实施一些简单的解决方案来保护您的网站免受绝大多数攻击。

在本文中,我们将探讨 WordPress 网站被黑客入侵的最常见原因以及如何快速修复这些漏洞。

目录
  1. 为什么人们首先要入侵网站?
  2. WordPress网站经常被黑的22个原因以及如何修复它们
  3. 保护您的 WordPress 网站免受黑客攻击并享受网站安全

为什么人们首先要入侵网站?

从广义上讲,有人可能想侵入您的 WordPress 网站有四个原因:

Sucuri 黑客统计
  1. 插入可能以某种方式伤害访问者的恶意代码或内容。 这被称为“恶意攻击”。 据 Sucuri Security 称,这些恶意软件攻击约占 WordPress 黑客攻击的 64%。
  2. 将您网站的资源用于自己的目的。 例如,在“拒绝服务”或“DDoS”攻击中作为僵尸网络的一部分提供帮助。
  3. 使用跨站点脚本。 这可以通过让某人加载其上包含不安全 JavaScript 的网站来实现。 根据 iThemes 的数据,这些脚本随后会窃取浏览器数据,并构成截至 2022 年 54% 的 WordPress 安全漏洞。
  4. 劫持您的网站以用于网络钓鱼计划。 换句话说,诱骗您的访问者泄露密码或信用卡号等个人信息。

所有这些方法的最终目标几乎都是窃取信息。 此信息用于窃取某人的身份或窃取金钱。

值得庆幸的是,只需几个简单的解决方案,您就可以保护您的网站免受大多数黑客的攻击。

WordPress网站经常被黑的22个原因以及如何修复它们

因此,您肯定想使用 WordPress,但又想避免被黑客入侵的可能性。 听起来对吗?

你很幸运!

我们汇总了 22 个不同的原因,尤其是 WordPress 网站被黑客入侵的原因。

我们还向您展示了您可以做些什么以及如何尽可能地保护您的网站。

1. WordPress 很容易被利用

WordPress

今天我们的榜首是 WordPress 很容易被利用的事实。 因为 WordPress 是开源的,所以任何人都可以查看代码。 因此,一旦发现漏洞,每个人都可以看到并可能利用它。

如何修复它:

虽然您对 WordPress 是目标这一事实无能为力,但您可以采取措施确保您的网站尽可能安全。

我们将在本文后面更多地讨论如何做到这一点,但现在,只知道保持 WordPress 安装最新、使用强密码和安装安全插件很重要。

2. WordPress 超级流行

正如我们之前所讨论的,WordPress 是世界上最流行的内容管理系统之一。

不幸的是,这意味着它也是黑客的主要目标。

他们知道,如果他们能花时间在 WordPress 中寻找漏洞,他们将能够利用许多具有相同漏洞的网站。

如何修复它:

解决这个问题的最佳方法是让您的 WordPress 安装、主题和插件保持最新。

当为 WordPress 发布新的安全补丁时,尽快更新您的网站非常重要。 这样,您可以确定您不太容易受到任何已知漏洞的影响。

但稍后会详细介绍。

3. WordPress 网站往往缺乏基本的安全措施

许多 WordPress 用户没有采取必要的措施来保护他们的网站。 这只是事实。

现在,他们可能没有意识到这样做有多么容易,或者他们可能不认为他们的网站是目标。

但是,事实是,即使是小型网站也可能成为黑客的目标。 如果您不采取必要的措施来保护您的网站,这是一个容易的目标。

如何修复它

第一步是让自己了解为保护 WordPress 网站应采取的基本安全措施。

对于某些人来说,这意味着安装一个安全插件。 对于其他人来说,这将意味着着手制定强化协议。

好消息是,这篇文章涵盖了您需要了解的大部分内容。

4. WordPress 网站通常托管在共享服务器上

WordPress 网站容易受到黑客攻击的另一个原因是它们通常托管在共享服务器上。

许多网站所有者没有意识到托管他们网站的服务器会对他们网站的安全性产生重大影响。

如果您的网站所在的服务器没有得到适当的保护,它可能会使您的网站容易受到攻击。

如何修复它

第一步是确保您使用的是信誉良好的托管公司。

做一些研究并阅读评论,找到一家认真对待安全的托管公司。 我们特别喜欢 SiteGround、DreamHost 和 Hostinger。

托管者

找到一家好的托管公司后,请确保您的网站托管在安全的服务器上。

5. 没有双重身份验证的错误密码(并且不强制使用强密码)

我们都听过一百万次,但它值得重复:保护您的 WordPress 网站的最简单方法之一是使用强密码。

许多 WordPress 网站所有者不接受这个建议,他们使用容易猜到的弱密码。

更糟糕的是,一些 WordPress 用户也不会强迫他们的用户使用具有双重身份验证的强密码。 这使得蛮力攻击更有可能。

如何修复它

将密码更改为更难猜的密码是第一步。

您的密码至少应包含 8 个字符,并且应包含大小写字母、数字和符号的组合。

如果您不确定如何创建强密码,可以使用密码生成器为您创建一个。

最后通行证

一些不错的选择包括:

  • LastPass 密码生成器
  • 强密码生成器
  • 诺顿密码管理器

拥有强密码后,下一步就是确保您的用户也使用强密码。

您可以通过强制他们在创建帐户时使用强密码来做到这一点。

为此,您需要安装一个安全插件。 密码策略管理器是一个不错的免费选择。

密码策略管理器

像其他任何插件一样安装并激活此插件,然后单击 WordPress 仪表板中的miniOrange 密码策略

从这里,您可以设置密码规则。

选择所需的字符数并决定是否要强制用户使用大小写字母、数字和特殊字符。

6、无硬化措施

WordPress 网站所有者犯的另一个常见安全错误是没有采取任何强化措施。

强化措施是您可以采取的使您的 WordPress 网站更安全的步骤。 它们通常是您可以做的简单事情,例如更改默认数据库前缀或删除自述文件。

但是,即使它们很简单,它们也可以对您网站的安全性产生重大影响。

如何修复它

WordPress 强化可以采取多种形式。 但是,您可以做的最简单的事情之一就是更改默认数据库前缀。

通过您最喜欢的 FTP 客户端连接到您的 WordPress 站点,然后将以下行添加到您的wp-config.php文件中:

 $table_prefix = 'wp_';

您可以采取的另一个简单的强化措施是删除自述文件。 您可以通过从 WordPress 目录中删除readme.html文件来完成此操作。

实施全方位强化实践的最佳方法之一是安装一个安全插件,这将我们引向下一点。

我们有一个专门用于自定义 wp-config 文件的帖子。

7.没有安全插件

为了保护 WordPress 网站,您可以做的最重要的事情之一就是安装安全插件。

安全插件将为您的网站增加一层额外的保护,它可以帮助您快速修复出现的任何安全问题。

最好的部分是这样的插件相对来说是不干涉的——只需设置它,您的网站就会受到保护。

如何修复它:

第一步是为您的 WordPress 网站找到一个好的安全插件。 那里有很多很棒的选择。

以下是一些表现最好的人:

苏库里安全

苏库里安全

对于正在寻找全面安全解决方案的 WordPress 网站所有者来说,这个插件是一个很好的选择。

它包括恶意软件扫描、黑名单监控和远程恶意软件删除等功能。

医疗保健

恶意护理

另一个不错的选择是 MalCare。 它提供了全方位的安全功能,包括全站点扫描、实时防火墙和恶意软件清除工具。 它还提供这些站点保护功能,而不会影响网站速度。

一旦你选择了一个插件,安装它并根据插件的说明进行配置。

8.文件权限不正确

WordPress 网站所有者犯的另一个常见安全错误是未设置正确的文件权限。

文件权限决定了谁可以读取、写入和执行文件。 如果设置不正确,可能会使您的 WordPress 网站容易受到攻击。

如何修复它

第一步是使用 FTP 客户端连接到您的 WordPress 网站。

连接后,查看以下文件和目录的权限:

  • wp-管理员
  • wp-包括
  • wp-内容

这些文件和目录的权限应该是 755。

数字表示实际权限:

  • 3 = (2 + 1) = 写入 + 执行
  • 5 = (4 + 1) = 读取 + 执行
  • 6 = (4 + 2) = 读取 + 写入
  • 7 = (4 + 2 + 1) = 读取 + 写入 + 执行

所以 755 为注册用户提供读 + 写 + 执行。 这并不理想。

接下来,看一下以下文件的权限:

  • 索引.php
  • wp-login.php
  • wp-blog-header.php

这些文件的权限应为 644。

在此处了解有关文件权限的更多信息。

9. 拥有管理员权限的用户过多

授予太多用户管理员权限是另一个可能使您的网站面临风险的关键安全错误。

管理员权限使用户可以完全控制 WordPress 网站。 如果具有管理员权限的用户帐户被黑客入侵,可能会使您的整个网站易受攻击。

如何修复它

确保您网站上的所有用户仅具有有效完成工作所需的权限级别。 这就是用户角色的用武之地。

一次性贡献者不必是管理员。 相反,在创建帐户时选择贡献者作家

如果您需要调整现有用户的用户角色,只需转到 WordPress 仪表板中的用户 > 所有用户,然后单击您要更改的用户名。

向下滚动,直到看到Role旁边的下拉菜单。 单击它并为此用户选择适当的用户角色。

完成更改后,向下滚动到页面底部,然后单击更新用户

了解有关 WordPress 用户角色的更多信息。

10. 不使用活动日志

保留活动日志是监控 WordPress 网站是否存在可疑活动的最佳方法之一。

活动日志将跟踪对您的 WordPress 网站所做的每一项更改。 而且,如果确实发生了可疑的事情,您将能够快速识别并采取行动。

因此,您可以看到如果您不关注他们的网站,您可能会错过重要的安全威胁。

如何修复它

第一步是为您的 WordPress 网站找到一个好的活动日志插件。

那里有一些很棒的选择,但最好的选择之一是 WP Activity Log 插件。

WP活动日志

安装并激活插件后,它将开始跟踪对您的 WordPress 网站所做的每一项更改,这样可以更轻松地查看何时发生恶意事件。

11. 过时的 WordPress 核心文件

要确保 WordPress 网站的安全,您可以做的最重要的事情之一就是确保核心文件始终是最新的。

WordPress 会定期发布其软件的新版本。 每个新版本都包含针对任何已知漏洞的安全修复程序。

WordPress 更新

如果您没有运行最新版本的 WordPress,您的网站可能容易受到攻击。

如何修复它

更新 WordPress 核心文件的最简单方法是登录到 WordPress 仪表板,然后单击屏幕顶部的更新链接。

如果有任何可用更新,您将看到一条消息,指出有新版本的 WordPress 可用。

单击立即更新按钮以更新您的 WordPress 文件。 我们始终建议在更新之前备份您的网站,以防万一。

12. 过时的主题和插件

除了使您的 WordPress 核心文件保持最新之外,您还需要确保您的主题和插件始终是最新的。

与 WordPress Core 一样,主题和插件会定期更新以修复安全漏洞并添加新功能。

如果您使用过时的主题或插件,您的网站可能会面临风险。

如何修复它

登录到您的 WordPress 仪表板,然后单击左侧边栏中的更​​新链接。

如果您的主题或插件有任何可用更新,您将看到一条消息,指出有新版本可用。

13. 编码不佳的主题和插件

有时,再多的更新也无法解决插件或主题的问题。 您必须首先注意您使用的主题和插件。

一些主题和插件编码不佳,可能会给您的 WordPress 网站带来安全漏洞。

如何修复它

为避免这种情况,请仅从信誉良好的来源下载主题和插件。 查找知名主题和插件的最佳位置是 WordPress.org 主题和插件目录。

您还可以从业内备受推崇的开发人员那里访问它们,比如我们在 Brainstorm Force 的这里。

如果您不确定您使用的任何插件或主题背后的开发人员的声誉,最好找到替代方案。

实际上,我们为您可能希望查看的插件提供了许多建议。

14. 未能删除未使用的主题和插件

另一个漏洞是安装了太多插件或主题。

如果任何未使用的主题和插件存在安全漏洞,您的网站可能存在风险。 当您不使用它们时,这种情况更有可能发生,因为您不太可能执行更新。

如何修复它

浏览您在 WordPress 网站上安装的所有主题和插件。 如果有任何您不使用的,请删除它们。

这也使您的数据库保持整洁,因此还有其他好处!

15.没有备份

无论您如何保护您的 WordPress 网站,总有可能出现问题。

例如,您可能会意外删除重要文件,或者您的网站可能会被黑客入侵。

如果发生这种情况并且您没有网站备份,您可能会丢失所有内容。

这就是为什么定期备份您的 WordPress 网站很重要的原因。 这样,如果出现问题,您可以恢复您的网站。

如何修复它

有许多 WordPress 插件可以帮助您创建网站的备份。 热门选项包括:

上升气流

上升气流

UpdraftPlus 是用于创建备份的最流行的 WordPress 插件之一。 它允许您创建网站文件、数据库和插件的备份。

如果出现问题,您可以从这些备份中恢复您的网站。

UpdraftPlus 还具有许多其他功能,包括按计划自动备份您的网站的能力。

金斯塔

金斯塔

您还可以使用托管 WordPress 托管选项,其中包括定期备份作为其服务的一部分。 Kinsta 是我们最喜欢的选项。

无论您是否使用托管备份,我们都建议您建立自己的备份机制。 你永远不能太小心!

16. 对 WordPress 文件的访问受限

使用共享 WordPress 托管的另一个安全风险是您可能无法完全访问您的 WordPress 文件。

一些托管服务提供商限制了客户对其 WordPress 文件的访问量。 这可能会使您难以正确保护您的网站。

如何修复它

避免此问题的最佳方法是使用 WordPress 托管服务提供商,让您可以完全访问 WordPress 文件。

17. 不使用防火墙

防火墙是一种有助于保护您的网站免受攻击的软件。 它通过阻止它认为是恶意的传入流量来做到这一点。

如果您没有在 WordPress 网站上使用防火墙,则它更容易受到攻击。

如何修复它

有许多 WordPress 插件可以帮助您为网站添加防火墙。

热门选项包括:

  • Sucuri 的 Web 应用程序防火墙
  • Wordfence 安全
  • Cloudflare

有些选项是免费的,有些是付费的。 我们建议阅读评论并查看功能以做出决定。

18. DDoS 攻击的主要目标

WordPress 网站通常是 DDoS 攻击的目标。

DDoS 攻击是一种攻击类型,攻击者试图通过流量使您的服务器过载,以使您的网站脱机。

如果您没有为 DDoS 攻击做好准备,它可能会使您的网站离线一段时间。

如何修复它

保护您的 WordPress 网站免受 DDoS 攻击的最佳方法是使用提供 DDoS 保护的 WordPress 托管服务提供商或 Cloudflare 等 CDN。

19. 跨站脚本 (XSS) 攻击的主要目标

跨站点脚本 (XSS) 攻击是一种攻击类型,攻击者试图将恶意代码注入您的网站。

如果成功,此代码可用于从您的网站访问者那里窃取信息。

如何修复它

保护您的 WordPress 网站免受 XSS 攻击的最佳方法是使用包含 XSS 保护的 WordPress 安全插件。

您可以在此处了解有关 XSS 及其构成的威胁的更多信息。

防止 XSS 漏洞插件

防止 XSS 漏洞是此任务的一个很好的、直接的选项。

20. 恶意软件注入的主要目标

恶意软件是一种旨在破坏或禁用您的网站的软件。

它可以通过多种方式注入您的网站,包括通过不安全的插件和主题。

如果您的网站感染了恶意软件,则可能难以删除。 在某些情况下,可能需要完全重建您的网站。

如何修复它

保护您的 WordPress 网站免受恶意软件侵害的最佳方法是使用包含恶意软件扫描和删除功能的 WordPress 安全插件。 特别是 MalCare 非常适合这种情况。

21. 不安全的联系方式

联系表格是 WordPress 网站的常见功能,通常用于收集敏感信息,例如信用卡号码和家庭住址。

如果您的联系表格没有得到妥善保护,这些信息可能会被黑客窃取。

如何修复它

您的网站需要有 SSL 证书才能通过联系表格正确处理敏感信息。 一旦你有了它,你也可以使用 WordPress 安全插件来帮助保护你的联系表格。

以下是有关创建安全联系表单的更多信息。

22.不安全的登录页面

登录页面是 WordPress 网站上最重要的页面之一。 它也是最脆弱的之一。

如果您的登录页面没有得到适当的保护,黑客可以通过猜测您的用户名和密码来访问您的网站。

如何修复它

您可以通过实际移动其 URL 来使您的站点的登录更加安全。 这样,黑客就不容易找到了。 您可以通过使用 WordPress 安全插件或向您网站的.htaccess文件中添加几行代码来完成此操作。

通过 FTP 连接到您的站点后,导航到/wp-content/目录。 在此目录中,查找名为.htaccess的文件。 如果您没有看到它,请确保您的 FTP 客户端配置为显示隐藏文件。

将以下代码添加到.htaccess文件的顶部:

重写引擎开启

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$

重写规则 ^(.*)$ –

保存您的更改并将文件上传回您的服务器。

我们在这里有一整篇专门针对您的 WordPress 登录页面的帖子。

保护您的 WordPress 网站免受黑客攻击并享受网站安全

在本文中,我们列出了 22 种 WordPress 可能被黑客入侵的方式。 我们还提供了有关如何修复这些漏洞的提示。

如果您遵循这些提示,您可以帮助保护您的 WordPress 网站免受黑客攻击。 知道您的网站是安全的,您可以高枕无忧!

祝你好运!