5 种最常见的 WordPress 攻击以及如何防止它们

已发表: 2023-04-19

您是否担心黑客会攻击您的 WordPress 网站? 我们希望我们可以告诉您不要担心,但事实是 WordPress 网站经常成为黑客的目标。 这主要是因为它的受欢迎程度,因为 WordPress 为互联网上三分之一的网站提供支持。

虽然 WordPress 本身是一个安全的网站构建平台,但它并不是单独运行的。 您需要插件和主题来运行 WordPress 网站。 插件和主题通常会产生漏洞,黑客会利用这些漏洞来入侵网站。

一旦他们访问了您的网站,他们就会进行各种恶意活动,例如窃取敏感信息、欺骗客户和展示非法内容。 同时,您的网站可能会在搜索结果中被标记为警告,或者可能被谷歌列入黑名单,甚至被您的网站托管服务商暂停。 所有这些都会导致访客和收入的损失。

虽然 WordPress 开发人员尽可能保持平台安全,但 WordPress 网站所有者也需要自行采取措施。 在本文中,我们讨论了 WordPress 网站上最常见的攻击以及您可以采取的预防措施。

TL;DR:如果您担心黑客攻击您的 WordPress 网站,您可以立即采取网站保护措施。 您可以安装我们的 WordPress 安全插件 MalCare。 它会每天扫描和监控您的网站,并阻止黑客试图闯入。

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”最后的想法”]

为什么 WordPress 是黑客的热门目标?

WordPress 是一个网站构建平台,任何人都可以在不知道如何编码的情况下构建网站。 此外,WordPress 是免费的。

因此,该平台如今为超过 13 亿个活跃站点提供支持。

所有这一切的缺点是 WordPress 网站的目标比建立在任何其他平台上的网站都多。

现在,黑客可以通过多种方式侵入您的网站。 我们已将其缩小到 5 个最常见的。 我们将解释会发生什么以及如何保护您的 WordPress 网站免受它的侵害。

5 种最常见的 WordPress 网站攻击

1. 易受攻击的插件和主题

一个 WordPress 站点是使用三个元素创建的——核心安装、主题和插件。 这三个要素都有可能使网站容易受到黑客攻击。

多年来,WordPress 核心没有出现任何重大漏洞。 它由经验丰富且合格的开发人员团队维护。 他们努力确保平台完全安全,因此您无需担心。

然而,WordPress 插件和主题是由第三方开发人员创建的,他们往往会经常开发 WordPress 漏洞。

当开发人员发现任何漏洞时,他们会及时修复并发布更新版本。

WordPress更新

您,网站所有者,需要更新到最新版本,您的网站才会安全。 立即安装此类安全更新非常重要。 这是因为当开发人员发布更新时,他们也会发布更新的原因。 因此,该漏洞已向公众公布。

这意味着黑客现在知道存在漏洞。 他们还知道并非所有网站所有者都会立即更新他们的网站。 因此,一旦他们发现某个插件或主题易受攻击,他们就会对机器人和扫描仪进行编程以抓取互联网并找到使用它们的网站。 确切地知道漏洞是什么让他们很容易利用、闯入和插入恶意软件,如 wp feed 恶意软件等;。

如何保护您的网站免受易受攻击的插件和主题的侵害

  1. 仅使用在 WordPress 存储库或 ThemeForest 和 Code Canyon 等市场中找到的受信任的主题和插件。
  2. 定期检查您的插件列表,只保留您使用的插件。 删除任何您不需要或不活动的。
  3. 定期扫描您的主题,理想情况下,您应该只保留您经常使用的主题。
  4. 切勿使用盗版主题和插件。 它们通常包含会感染您网站的恶意软件。
  5. 确保您识别站点上的所有插件和主题。 有时黑客会安装他们自己的插件和主题,这些插件和主题会安装网站后门。 这使他们可以秘密访问您的网站。

2. 蛮力攻击

要登录您的 WordPress 站点,您需要输入您的登录凭据,即用户名和密码。

很多时候,WordPress 网站所有者使用易于记忆的用户名和密码。 许多 WordPress 用户保留默认用户名“admin”。 常用密码包括“password123”或“1234567”。

黑客很清楚这一点并攻击 WordPress 网站的登录页面。

WordPress登录页面

他们创建了一个常用用户名和密码的数据库。 接下来,他们对机器人进行编程以将 WordPress 网站作为目标并尝试其数据库中存在的不同组合。

如果您的登录凭据很弱,机器人很有可能会猜到它并闯入您的站点。 这被称为“蛮力攻击”,估计他们有 10% 的成功率!

如何保护您的网站免受暴力破解

您可以采取几个步骤来保护您的站点免受暴力攻击:

  1. 默认情况下,您的 WordPress 用户名是 admin。 您可以将其从管理员更改为更独特的内容。
  2. 使用强 WordPress 密码。 我们建议将密码短语与数字和符号结合使用,例如 Birdsofafeather123$。
  3. 使用您未在其他网站上使用过的唯一凭据。
  4. 限制您网站上的登录尝试次数。 这意味着 WordPress 用户只有有限的机会输入正确的凭据,例如 3 次尝试或 5 次尝试。 此后,他们将需要使用“忘记密码”选项。 您可以在您的站点上安装我们的 MalCare 安全插件,它会自动为您实施此登录保护。
  5. 使用双因素身份验证,其中 WordPress 用户必须输入他们的凭据以及在他们的智能手机上生成或发送到他们注册的电子邮件地址的一次性密码。

3.注入攻击

几乎每个网站都有一个输入字段,例如联系表单、站点搜索栏或评论部分,使访问者可以输入数据。 一些网站还允许访问者上传文档和图像文件。

通常这些数据会被接受并发送到您的数据库进行处理和存储。 这些字段需要适当的配置才能在数据进入数据库之前对其进行验证和清理。 这将确保只接受有效数据。 如果缺少这些措施,黑客就会利用它并输入恶意代码。

让我们举一个带有联系表的 WordPress 网站的例子。 理想情况下,此表单应接受姓名、电子邮件地址和电话号码。

联系表
  1. 名称字段应该只接受字母表中的字母。
  2. 电子邮件地址字段应接受有效的电子邮件地址格式,例如 [email protected]
  3. 电话号码字段应仅包含数字。

现在,如果这些配置没有到位,黑客就可以插入恶意脚本,例如:

 String userLoginQuery = "SELECT user_id, username, password_hash FROM users WHERE username = '" + request.getParameter("user") + "'";

这是一段命令数据库执行某些功能的代码。 通过这种方式,黑客能够在您的网站上运行恶意脚本,他们可以使用这些脚本来完全控制您的网站。

对 WordPress 站点最流行的注入攻击包括 SQL 注入攻击和跨站点脚本攻击。

如何保护您的网站免受注入攻击

  1. 许多注入攻击源于使访问者能够在您的网站上进行输入的主题和插件。 我们建议仅使用受信任的主题和插件。 接下来,让您的插件和主题始终保持最新。
  2. 控制字段条目和数据提交。 这是技术性的,需要开发人员的协助。
  3. 使用 WordPress 防火墙。 如果您在网站上安装了 MalCare,它会自动建立一个强大的防火墙来保护您的网站免受黑客攻击。

4. 网络钓鱼和数据盗窃

访问者以不同的方式与您的网站互动。 他们中的一些人只是阅读您的博客文章,其他人则通过您的联系方式与您联系,等等。 如果您经营电子商务网站,那么许多访问者会从您的网站购买商品。 这意味着他们需要登录您的网站并输入信用卡信息。

当有人将信用卡信息输入到您的网站时,它会将信息传输并存储在您的网站服务器上。 这些信息在传输过程中可能会被拦截。 此外,信用卡数据可能被盗。

他们也可能闯入您的网站并冒充您。 他们发送电子邮件或将访问者重定向到其他网站,并诱使他们泄露个人数据和付款信息。

如何保护您的网站免受网络钓鱼和数据盗窃

  1. 使用 SSL 证书。 这将加密从您的站点传输和传输到您的站点的数据。 即使黑客拦截了它,他们也无法使用它,因为他们将无法破译它。 请参阅我们的 SSL 和 HTTPS 使用指南。 它还将删除您网站上的 WordPress 网站不安全警告。
  2. 如果您的网站上有任何可疑活动,请使用 WordPress 安全插件接收警报。 该插件还将阻止黑客尝试。

5.偷饼干

您是否注意到,当您登录网站时,您的浏览器会要求“记住我”或“保存密码”? 这样做是为了让您不必在每次访问网站时都输入登录凭据。 您可以选择允许浏览器保存您的登录详细信息。

用户名和密码

由于 cookie,浏览器可以保存此类数据。 Cookie 是记录访问者与网站互动的微小数据。 例如,如果您经营一家在线商店,您的网站可能会跟踪客户的旅程,例如他们搜索的产品和购买的产品。 这些数据用于分析,广告商也根据访问者的喜好定制广告。 现在,cookie 还可以存储银行详细信息和个人信息。

如果黑客能够窃取您网站的 cookie,他们就可以访问您的企业和访问者的敏感数据。 他们可以利用这些数据进行恶意行为,例如使用他们的信用卡信息来欺骗客户。

您可以在我们的 Cookie 窃取和会话劫持简单指南中阅读更多相关信息。

如何保护您的网站免受 Cookie 窃取和会话劫持

  • 定期更改您的 WordPress 密钥和盐。 密钥和盐为存储在浏览器 cookie 中的信息提供安全加密。 这项措施本质上是技术性的。 我们建议使用 MalCare 的 WordPress 强化功能来更改您的密钥和盐。 从 MalCare 仪表板,访问安全 > WordPress 强化 > 更改 WordPress 安全密钥和盐。
恶意网站硬化
  • 在这里,我们也建议安装 SSL 证书以保护您网站的数据。

这使我们结束了最常见的 WordPress 攻击。 在我们结束之前,我们想向您展示一些 WordPress 强化措施,这些措施将使您的网站更强大地抵御此类攻击。

如何加强您的 WordPress 网站免受攻击

虽然您可以采取具体措施来保护您的网站免受某些攻击,但您可以在您的网站上实施一些整体安全措施以获得更好的保护。 这些被称为 WordPress 强化措施。 我们已在此处对其进行了简要解释,但您可以阅读我们关于 WordPress 强化的深入指南以获取更详细的解释。

1.禁用文件编辑器

WordPress 具有一项功能,可让您直接从仪表板编辑主题和插件文件。 许多网站所有者不需要此功能,它主要由开发人员使用。 但是,如果黑客闯入您的 wp-admin 仪表板,他们可以将恶意代码插入到您的主题和插件文件中。 因此,如果您不需要此功能,可以将其禁用。

2.禁用插件或主题安装

当黑客可以访问您的网站时,他们会安装自己的插件或主题。 这些插件和主题通常是恶意的并且包含后门。 这为黑客提供了进入您网站的秘密入口。

另外,正如我们所提到的,易受攻击的主题和插件是网站被黑的首要原因。 如果您的网站上有多个用户,他们可能会安装不安全的插件或主题。 这可能会向黑客开放您的网站。 如果您想避免这种情况,您可以在您的网站上禁用插件和主题安装。

如果您不定期在站点上安装插件和主题,则可以禁用安装选项。

3.限制登录尝试

正如我们之前提到的,您可以限制 WordPress 用户必须输入正确的登录凭据才能进入站点的机会。 这消除了暴力攻击的风险。

4. 更改安全密钥和盐

密钥和盐对存储在浏览器中的信息进行加密。 因此,即使黑客设法窃取了您的 cookie,他们也无法破译它。 但是,如果黑客访问了这些密钥和盐,他们就可以用它来解密 cookie。 定期更换密钥和盐有助于避免 cookie 被盗。

5. 阻止未知文件夹中的 PHP 执行

您的 WordPress 站点上只有某些文件和文件夹执行代码。 其他文件夹仅存储信息,例如存储图像和视频的上传文件夹。

但是,当黑客获得对您网站的访问权限时,他们会将 php 代码插入随机文件夹,甚至创建自己的文件夹。

您可以通过禁用未知文件夹中的 PHP 执行来阻止此类活动。

实施这些措施需要技术专长。 我们不建议手动执行此操作。 使用像 MalCare 这样的插件更安全、更容易,只需点击几下即可完成此操作。

恶意网站硬化

有了这个,我们相信您的 WordPress 网站是安全的,可以防止黑客入侵。

最后的想法

黑客有多种方法可以侵入您的 WordPress 网站,而且他们经常想出新方法!

您需要采取安全措施来保护您的网站并确保其免受黑客攻击。

我们建议使用我们的 MalCare 安全插件来保护您的 WordPress 网站。 它将阻止黑客和恶意机器人访问您的网站。 您可以放心,您的网站受到监控和保护。

使用我们的MalCare 安全插件防止黑客攻击