最近,我们的一位读者问我们为什么 WordPress 网站会被黑客攻击。
发现您的 WordPress 网站被黑客入侵是令人沮丧的。虽然黑客会针对所有网站,但您可能会犯一些错误,从而使您的网站容易受到攻击。
在本文中,我们将分享 WordPress 网站被黑客攻击的主要原因,以便您可以避免这些错误并保护您的网站。
WordPress为何成为黑客攻击目标?
首先,它不仅仅是 WordPress。互联网上的所有网站都容易受到黑客攻击。
WordPress 网站成为常见目标的原因是 WordPress 是世界上最受欢迎的网站构建器。它为超过 43% 的网站提供支持,这意味着全球有数亿个网站。
这种巨大的受欢迎程度使黑客能够轻松找到安全性较低的网站,从而利用这些网站。
黑客攻击网站的动机多种多样。有些是刚刚学习利用不太安全的网站的初学者。其他人则有恶意,例如分发恶意软件、攻击其他网站和发送垃圾邮件。
话虽如此,让我们看一下 WordPress 网站被黑客攻击的一些主要原因,以便您可以了解如何防止您的网站被黑客攻击。
1. 不安全的虚拟主机
与所有网站一样,WordPress 网站托管在网络服务器上。一些托管公司没有正确保护其托管平台。这使得其服务器上托管的所有网站都容易受到黑客攻击。
通过为您的网站选择最佳的 WordPress 托管提供商,可以轻松避免这种情况。适当保护服务器可以阻止 WordPress 网站上的许多最常见的攻击。
如果您想采取额外的预防措施,那么我们建议您使用托管 WordPress 托管提供商。
2. 使用弱密码
密码是您 WordPress 网站的钥匙。您需要确保为以下每个帐户使用强大且唯一的密码,因为它们都可以为黑客提供对您网站的完整访问权限。
- 您的 WordPress 管理员帐户
- 您的网络托管控制面板帐户
- 您的 FTP 帐户
- 用于您的 WordPress 网站的 MySQL 数据库
- 用于 WordPress 管理和托管的所有电子邮件帐户
所有这些帐户均受密码保护。使用弱密码可以让黑客更容易使用一些基本的黑客工具来破解密码。
您可以通过为每个帐户使用唯一且强的密码来轻松避免这种情况。请参阅我们关于 WordPress 初学者管理密码的最佳方法的指南,了解如何管理所有这些强密码。
3. 对 WordPress 管理员 (wp-admin) 的不受保护的访问
WordPress 管理区域允许用户在您的 WordPress 网站上执行不同的操作。它也是 WordPress 网站最常受到攻击的区域。
如果不对其进行保护,黑客就可以尝试不同的方法来破解您的网站。您可以通过在管理目录中添加身份验证层来让他们感到困难。
首先,您应该使用密码保护您的 WordPress 管理区域。这增加了一个额外的安全层,任何试图访问 WordPress 管理员的人都必须提供额外的密码。
如果您运行多作者或多用户 WordPress 网站,则可以为网站上的所有用户强制执行强密码。您还可以添加双因素身份验证,使黑客更难进入您的 WordPress 管理区域。
4. 文件权限不正确
文件权限是 Web 服务器使用的一组规则。这些权限可帮助您的 Web 服务器控制对站点上文件的访问。不正确的文件权限可能会让黑客获得写入和更改这些文件的权限。
您的所有 WordPress 文件都应具有 644 值作为文件权限。WordPress 网站上的所有文件夹的文件权限都应为 755。
请参阅我们有关如何解决 WordPress 中的图像上传问题的指南,了解如何应用这些文件权限。
5. 没有保持 WordPress 最新
一些 WordPress 用户害怕更新他们的 WordPress 网站。他们担心这样做会破坏他们的网站。
WordPress 的每个新版本都会修复错误和安全漏洞。如果您不更新 WordPress,那么您就是故意让您的网站容易受到攻击。
如果您担心更新会破坏您的网站,那么您可以在运行更新之前创建完整的 WordPress 备份。这样,如果出现问题,您可以轻松恢复到以前的版本。
您可以在我们的初学者指南中了解有关如何安全更新 WordPress 的更多信息。
6.不更新插件或主题
就像核心 WordPress 软件一样,更新主题和插件同样重要。使用过时的插件或主题可能会使您的网站容易受到攻击。
WordPress 插件和主题中经常会发现安全漏洞和错误。通常,主题和插件作者很快就会修复它们。但是,如果用户不更新他们的主题或插件,那么他们就无能为力。
确保您的 WordPress 主题和插件保持最新。您可以在我们的指南中了解如何正确更新 WordPress、插件和主题。
7. 使用普通 FTP 代替 SFTP/SSH
FTP 帐户用于使用FTP 客户端将文件上传到您的 Web 服务器。大多数托管提供商都支持使用不同协议的 FTP 连接。您可以使用普通 FTP、SFTP 或 SSH 进行连接。
当您使用普通 FTP 连接到您的站点时,您的密码将以未加密的方式发送到服务器。这意味着它可以被监视并很容易被盗。您应该始终使用 SFTP 或 SSH,而不是使用 FTP。
您无需更改 FTP 客户端。大多数 FTP 客户端可以通过 SFTP 和 SSH 连接到您的网站。连接到您的网站时,您只需将协议更改为“SFTP – SSH”即可。
8. 使用 Admin 作为 WordPress 用户名
不建议使用“admin”作为您的 WordPress 用户名。如果您的管理员用户名是“admin”,那么您应该立即将其更改为其他用户名。
有关详细说明,请查看我们有关如何更改 WordPress 用户名的教程。
9. 空主题和插件
互联网上有许多网站免费分发付费 WordPress 插件和主题。您可能会想在您的网站上使用那些无效的插件和主题。
从不可靠的来源下载 WordPress 主题和插件是非常危险的。它们不仅会危及您网站的安全,还可能被用来窃取敏感信息。
您应该始终从可靠的来源(例如开发人员的网站或官方 WordPress 存储库)下载 WordPress 插件和主题。
如果您买不起高级插件或主题,那么这些产品总是有免费的替代品。这些免费插件可能不如付费插件好,但它们可以完成工作,最重要的是,可以保证您的网站安全。
您还可以在我们网站的优惠部分找到许多流行 WordPress 产品的折扣。
10. 不保护 wp-config.php WordPress 配置文件
wp -config.php WordPress 配置文件包含您的 WordPress 数据库登录凭据。如果它被泄露,那么它将泄露可能使黑客完全访问您的网站的信息。
您可以通过使用.htaccess拒绝对 wp-config 文件的访问来添加额外的保护层。只需将此代码添加到您的 .htaccess 文件中即可。
| 1234 | <files wp-config.php>order allow,denydeny from all</files> |
由
11. 不更改 WordPress 表前缀
许多专家建议您应该更改默认的 WordPress 表前缀。默认情况下,WordPress 使用它wp_作为在数据库中创建的表的前缀。您可以选择在安装过程中更改它。
建议您使用更复杂的前缀。这将使黑客更难猜测您的数据库表名称。
有关详细说明,请参阅我们有关如何更改 WordPress 数据库前缀以提高安全性的指南。
清理被黑的 WordPress 网站
清理被黑的 WordPress 网站可能会很痛苦。然而,这是可以做到的。
以下是一些可帮助您开始清理被黑 WordPress 网站的资源:
- 您的 WordPress 网站被黑客入侵的 12 个迹象(以及如何修复)
- 如何扫描您的 WordPress 网站是否存在潜在的恶意代码
- 如何在被黑的 WordPress 网站中找到后门并修复它
- 当您被锁定在 WordPress 管理员 (wp-admin) 之外时该怎么办
- 有关如何从备份恢复 WordPress 的初学者指南
额外提示
为了保证坚如磐石的安全性,我们在所有 WordPress 网站上都使用Sucuri 。Sucuri提供恶意软件检测和删除服务以及网站防火墙,可保护您的网站免受最常见的威胁。
了解Sucuri 如何帮助我们在 3 个月内阻止 450,000 次 WordPress 攻击的故事。
我们希望本文能帮助您了解 WordPress 网站被黑客攻击的主要原因。您可能还想查看我们关于如何增加博客流量的指南或我们关于加快 WordPress 性能的专家提示。
