WordPress 用戶破壞網站的六種常見方式

已發表: 2019-12-05

WordPress 表面上看起來很簡單,但在內部,它是一個複雜的系統,可以同時為您的內容提供服務、處理客戶交易並管理大量數據。 雖然 WordPress 是一個非常穩定的平台,但它並非牢不可破。

即使您小心管理它,您有時也會發現自己的網站已損壞。 在這篇文章中,我們將探討六種最常見的可能發生方式。

1.使用過多的插件

WordPress 用戶被寵壞了——網站管理員可以使用大量的插件。 您應該或不應該安裝的插件數量並不多,但重要的是要了解每個插件都會對您的網站產生影響。 為什麼?

  1. 每個插件都加載 PHP 代碼,這是 WordPress 主要編寫的編程語言。 這可能很好……除非代碼寫得不好且不安全。
  2. 每個插件都在加載 CSS、JavaScript 和圖片等資產,這會降低您的網站速度。
  3. 每個插件都需要更新安全和功能,這可能會導致問題。

您安裝的每個插件都會增加您遇到問題的機會。 您擁有的插件越多,就越有可能“破壞”您的網站。 當一個網站無法再提供它原本要執行的功能時,它就變成了一塊“磚塊”。

插件更新可能會用錯誤的代碼破壞網站,因為它們與另一個插件或主題衝突,或者與服務器中的設置衝突。 在這些情況下,經常會看到以下錯誤消息:“建立數據庫連接時出錯”、“內部服務器錯誤”和“連接超時”。 您甚至可能會在您的網站上看到代碼字符串。

示例數據庫連接錯誤。
插件問題可能會導致意外的網站錯誤。

在安裝插件之前,請詢問您是否會使用它提供的大部分功能。 如果沒有,您最好尋找更小、更簡單的插件來僅提供您需要的功能。 在任何給定網頁上運行的插件代碼越少,風險就越小。

Jetpack 等插件提供了多種有價值的功能,使您能夠安裝一個插件來完成各種任務,而不是幾個單獨的插件,每個插件都有其自身的風險。 您可以隨時關閉任何您不需要的 Jetpack 功能! 像 Jetpack 這樣的插件非常適合通過使用單一解決方案來滿足許多需求來減少插件膨脹。

2. 從不受信任的來源安裝插件或主題

請務必僅從受信任的供應商處下載插件和主題。 WordPress.org 就是其中之一,但您必須確保從其官方開發者那裡購買高級插件。

“無效”或“破解”的高級主題或插件通常會被修改為包含惡意代碼,這些代碼可以做各種令人討厭的事情並最終破壞或破壞您的網站。

通過 cookie 依賴第三方 Web 服務和跨站腳本 (XSS) 的插件可能會使您的網站面臨“cookie 中毒”的可能性(您的網站發出的 cookie 會被攔截並在返回給您之前添加惡意軟件)站點)或 SQL 注入(黑客可以藉此直接訪問您站點的數據庫)。 不用說,對於您的網站或您的用戶來說,這些都不是好消息。

即使是沒有許可證密鑰的高級產品也不會收到任何更新,從而使您的網站容易受到攻擊。 你應該經常檢查插件的更新頻率——舊插件更有可能不安全——並閱讀評論。 幸運的是,WordPress.org 存儲庫讓這一切變得簡單!

然而,Jetpack 是由 Automattic 創建的,Automattic 是 WordPress 的主要貢獻者和 WordPress.com 背後的公司。 這意味著它始終是最新的,並為網站所有者提供值得信賴、可靠的解決方案。

3. 編輯您的網站代碼

我們都去過那裡。 您正在搜索您一直試圖在您的網站上解決的問題,並找到一個潛在的解決方案,告訴您複製和粘貼一些代碼。 如果您是一位經驗豐富的程序員並且擁有不錯的 HTML 專業知識,那麼這可能沒問題。 如果你不是,這可能是危險的,原因有兩個:

  1. 如果您不完全了解代碼在做什麼,您就無法完全理解它可能對您的站點產生的後果或影響。
  2. 您可能很想將代碼放在主題的 functions.php 文件中,編輯插件的源代碼,或修改 WordPress 核心。 所有這些都是非常糟糕的想法。 如果您在執行此操作時碰巧刪除了任何原始代碼,您的網站可能會崩潰。

如果您必須安裝自己的代碼,請始終確保您了解其用途並儘可能在客戶端或登台網站上對其進行測試。

4. 被黑

WordPress 是世界上最常用的內容管理系統。 雖然這提供了一個包含大量插件和主題的廣泛生態系統以及一個出色的社區,但它的無處不在也使 WordPress 成為任何想要破解網站的人的明顯目標。

每天都會發現插件漏洞,大多數(但不是全部)開發人員都非常快速地修補他們的插件。 不幸的是,如果您不及時更新插件,您的網站就會成為黑客的目標。 即使是不產生太多流量的網站也可能被黑客入侵。

黑客經常使用機器人進入您的網站,從而使整個過程自動化。 如果您的網站可以在搜索引擎上找到,那麼黑客就可以找到它。 WPScan 漏洞數據庫是檢查最新錯誤的好資源。 如您所見,經常會發現新漏洞,有時在安裝了數千或數百萬次的插件中。 為了保護您的站點,請實施像 Jetpack 這樣的安全解決方案,它提供安全掃描、暴力攻擊預防、停機時間監控和自動插件更新。

5. 過時的服務器軟件

保存您網站的服務器具有操作系統和為其提供支持的底層軟件,就像您的計算機一樣。 像所有軟件一樣,它必須不斷更新。 許多人沒有意識到這些更新的發生,因為他們的虛擬主機在幕後為他們做這件事。

但是,如果您的虛擬主機沒有快速應用更新怎麼辦? 許多網站仍在運行 PHP 5.6,儘管它不再接收任何安全更新。 甚至 PHP 7.1 也將在 2019 年 12 月達到其生命週期的終點。

擁有過時的服務器軟件有幾個缺點:

  • 安全問題:較舊的軟件版本可能存在漏洞。
  • 速度問題:PHP 7.3 比舊版本快得多。
  • 兼容性問題:一些 PHP 函數在 PHP 7.3 中可用,但在 PHP 5.6 中不可用。 如果插件僅支持 7.3 而您運行的是 5.6,這可能會導致問題。 (為了幫助您,WordPress 插件存儲庫會顯示每個插件頁面所需的最低 PHP 版本。)

6.配置不當的用戶訪問

如果您的網站允許多個用戶登錄並添加或編輯內容,那麼您的網站被破壞的風險就會增加。 向太多人授予太多權限會增加某人通過無意的用戶輸入引起問題的可能性。

通常,網站所有者會授予所有貢獻者管理員級別的訪問權限。 這是非常危險的,因為所有這些新成立的管理員都可以:

  • 安裝和更新插件。
  • 更改您的網站代碼。
  • 編輯您的主題和網頁設計。
  • 添加或刪除頁面/帖子/產品/任何其他帖子類型。
  • 訪問機密數據(包括在線商店的財務數據)。

以上任何一項都可能破壞網站。 用戶應該獲得他們完成工作所需的確切權限——僅此而已。 WordPress 帶有一些內置的用戶角色,但您也可以使用代碼或插件(例如用戶角色編輯器或成員)創建自己的用戶角色。 WooCommerce 為從安全角度理解 WordPress 用戶角色提供了一個很好的指南。

Jetpack Activity 為具有多個用戶的網站提供透明度。 它記錄在您的站點上執行的操作,包括登錄嘗試、發布或更新的頁面、插件安裝、設置修改等。 您可以查看誰執行了每個操作以及每個操作發生的時間,並在需要時從該確切時間點恢復您的站點備份。

如果您的 WordPress 網站出現故障該怎麼辦

最後,網站仍然會崩潰。 無論您是經驗豐富的 Web 開發人員還是新手網站構建者,您都可能會在某個時候破壞您的網站。

確保最短停機時間的最佳方法是製定全面的異地備份策略。 不要僅僅依靠您的主機進行備份,因為:

  • 您可能無法控製備份。 您的主機可能每週只備份一次您的網站,但是在數據每小時都在變化的繁忙網站上會發生什麼? 實時備份至關重要! 如果您有電子商務商店,則可以在一天中的任何時間下訂單。 如果沒有實時備份,您可能會丟失從備份到站點崩潰之間的客戶數據。
  • 你永遠不能太支持。 100% 信任房東是不明智的; 他們也可能受到損害。 多方面的備份方法可以降低您的風險。
  • 從您的主機檢索備份並不總是像聽起來那麼簡單。 您可能需要聯繫支持人員並要求他們恢復備份,這可能需要很長時間,並且取決於您的主機,這是一個困難的過程。 如果您的網站是收入來源,那麼它每關閉一分鐘都可能意味著收入損失。

還有許多免費和付費的 WordPress 插件備份解決方案。 插件當然提供了有效的選項,但並非所有的備份插件都是平等的。 一些常見的缺點:

  • 默認情況下,一些插件會備份到您的 Web 服務器。 如果您的服務器發生災難性故障,您的備份也可能會丟失。
  • 一些插件允許您將數據備份到異地帳戶,例如 Amazon S3 或 Dropbox。 雖然這是一個好主意,但它要求您在場外提供商處擁有一個帳戶,這可能意味著額外費用。
  • 許多免費備份插件缺少實時備份等功能。 高級版本可能既昂貴又需要您為異地備份擁有單獨的帳戶。

但是,Jetpack 是 WordPress 備份的絕佳解決方案。 無論您擁有哪種類型的站點,Jetpack 都有可靠的備份選項。 每日備份是餐廳、博客和投資組合的絕佳選擇,並且包含 30 天的存檔期,因此您可以輕鬆訪問最近 30 天的備份。 電子商務商店、新聞機構、會員網站和在線論壇將需要具有無限存檔的實時備份,以便您可以從任何時間點恢復您的網站。

活動日誌中備份操作的屏幕截圖。
備份功能可讓您將網站“倒回”到前一個日期。

對您網站的每一項重大更改都會自動保存。 有人剛剛寫了評論嗎? 您是否添加了新產品? 您是否更新了破壞您網站的插件? 這一切都已備份。

這不僅讓您高枕無憂,而且還為您的備份提供了一個堅如磐石的異地平台。 Jetpack 甚至包括一個遷移功能,允許您將整個站點移動到另一台主機或服務器。 如果您的服務器面臨災難性故障,或者您只想將您的站點移動到另一台主機,Jetpack 可以滿足您的需求。

破壞網站是很常見的事情。 即使對於最細心的網站所有者來說,您無法控制的事情也可能會出錯。 同時擁有現場和非現場備份解決方案是幫助降低風險的好方法。 並且成本相對較低,沒有理由冒著您網站安全的風險。

了解有關 Jetpack Backup 的更多信息或比較計劃以探索在您的 WordPress 網站上激活 Jetpack 的其他好處。