您的 WordPress 网站容易受到黑客攻击的 6 个原因

已发表: 2019-04-26

凭借 WordPress 提供的出色功能和自定义选项,几乎 33% 的网站使用 WordPress CMS 也就不足为奇了。 但是,潜在的安全问题可能会再次困扰网站所有者。

事实上,最近一项研究分析了 8,000 个被黑网站,其中74%使用 WordPress。

如果您使用的是 WordPress 网站,请务必确保正确设置安全性以将风险降至最低。

那么最好的行动方案是什么?

以下安全问题是一些最重要的问题,可能会使您的 WordPress 网站容易受到黑客攻击。 识别并解决这些问题很重要; 马上。

1. 不安全的托管服务

制作网站的主要资源之一是网络托管。

从您网站的性能到其安全性,您的托管服务都会影响到这一切。 因此,选择提供足够安全性的托管服务提供商至关重要。

在您考虑和分析您的托管选项时,以下提示应该对您有所帮助。

    • 浏览它提供的所有安全功能。
    • 了解在托管方面,昂贵并不总是意味着更好。
    • 一些提供商的入门级计划的成本与其他托管服务提供商的高端计划一样高。 这并不总是意味着它们可以进行比较。
    • 了解两种最流行的托管服务类型之间的区别。

       共享主机:
       共享托管服务提供可以检测 WordPress 恶意软件的基本安全扫描。
       它还允许您跟踪访问您网站的访问者。 这可以帮助您识别有害访问者并阻止他们的 IP 地址。
       共享托管服务的主要亮点是它能够托管多个网站,这也使得它比其他托管类型便宜很多。

       托管主机:
       这是一种托管服务,它为安全提供防火墙以及常规恶意软件扫描。
       一些提供商提供“托管托管服务”,限制对 WordPress 文件和文件夹的访问以确保它们的安全。
       例如,WP-Engine 阻止更改所有PHP 文件,而 Pantheon 不允许在文件夹上写入,除了包含主题和插件数据的文件夹。
  • 测试客户支持:
     客户支持是您在比较托管服务提供商时需要考虑的另一个因素。

     无论是微不足道的问题还是彻底的崩溃; 如果是关于托管服务,提供商应该提供全面的客户支持。

     要了解提供商的支持系统的合格程度,只需获取他们的联系方式并与他们联系即可。 问他们你所有的问题,看看他们在解决你的问题时有多耐心和合作。

     根据此经验,您将了解他们在发生安全漏洞时将如何反应。 这应该可以帮助您决定是否要从他们那里购买。

如果您已经从错误的提供商处购买了托管计划,请不要担心。 您不必等待计划到期。 BlogVault 和 Migrate Guru 等服务可以帮助您轻松迁移到不同的托管服务提供商。

2.系统更新

与任何其他 CMS 一样,WordPress 需要定期更新。 忽略这一点可能会使您的 WordPress 网站成为潜在的安全风险。

事实上,被黑客入侵的 WordPress 网站中有80%都在运行过时的主题和/或插件。 大开眼界吧?

作为一个拥有数千名开发不同主题和插件的开发人员的开源 CMS,这意味着您的 WordPress 仪表板可能会根据您使用的插件和主题收到许多更新。

您需要确保所有核心主题和插件都更新到最新版本。

 更新插件的步骤:

  • 打开您的 WordPress 仪表板并转到插件 > 已安装插件

  • 仪表板将带您进入显示已安装插件的页面。

     识别待更新的插件,然后单击“立即更新”。

同样,您可以通过转到外观 > 主题以几乎相同的方式更新您网站上的主题。

这也将解锁添加到主题/插件/系统的最新功能。 这有助于同时维护您网站的安全性和稳定性。

3.盗版主题或插件

虽然建立一个 WordPress 网站不会在你的口袋里烧个洞,但让它美观且功能丰富,因为一个好的 WordPress 主题/插件可能会花费你 10 到 200 美元之间的任何费用。

为了逃避这些“据称”不请自来的费用,网站管理员经常采取更便宜的路线并使用无效/盗版插件/主题,这些插件/主题可以免费或以微不足道的价格获得。

这样做的结果是什么?

在许多情况下,使用无效主题的网站无意中通过以下 URL 授予黑客后门访问权限: http ://www.example.xyz?backdoor=go

 当 URL 触发网站的后门时,黑客能够访问该网站,并使用以下凭据创建一个新的 WordPress 管理员帐户:

 用户名: backdooradmin
 密码: Pa55W0rd

这通常是由实际主题所有者添加到functions.php文件中的附加短代码的结果。

使您的网站免受此类风险。 始终从官方WordPress 存储库或其他受信任的来源(例如 Theme Forest 或 Themeisle)获取主题和插件。

4. 虚拟登录详情

默认登录页面:
 使用相同的旧用户名和易于猜测的密码可以让试图进入您网站后端的黑客更加轻松。

怎么修?

  • 用户名和密码问题:
     尝试创建一个您没有在其他帐户上使用过的用户名和密码。

     请注意,拥有唯一的用户名至关重要。 如果用户名很容易猜到,那么黑客唯一需要找出的就是您的密码。

     确保永远不要在您的网站上显示您的用户名。 这样做就像给黑客一个私人邀请,让他们在你的 WordPress 仪表板上大快朵颐。 相反,请使用与用户名不同的昵称或标题。 默认登录页面 URL 问题: www.yoursite.com/wp-admin

     这是 WordPress 登录页面 URL 的最轻松和最常见的选择,它使您的网站容易受到黑客攻击。

     大多数黑客不会手动攻击。 他们对机器人进行编程以访问登录页面并破解目标站点的登录凭据。

     使用默认登录页面 URL 将减少试图进入您网站的机器人和黑客的工作量。

     最好的办法是更改默认登录 URL。

     例如,将 – www.yoursite.com/wp-admin更改www.yoursite.com/welcometomysite

     为此,请按照以下简单步骤操作。

     – 首先,使用 UpdraftPlus对您的 WordPress 网站进行完整备份

    – 然后安装并激活“Easy Hide Login”插件(它是免费的)。
    – 转到插件的设置并提交您选择的登录信息(例如“welcometomysite”)。

     – 这会将您的 WordPress 登录地址从yoursite.com/wp-admin更改为yoursite.com/welcometomysite ,并使人们更难入侵您的网站。


 5. 可写的 PHP 文件

就像网络上或网络外的任何其他计算机程序一样,WordPress 网站也由文件和文件夹组成。

这些文件夹之一是“上传”文件夹。 此文件夹存储您网站的所有主题和插件数据。

潜在的黑客可以找到一种方法将 PHP 代码上传到此文件夹以访问您的网站。

一旦黑客通过这种方法获得了访问权限,他们就可以窃取您计划在未来发布的内容以及其他重要资源,例如您的邮件列表中的电子邮件地址。 他们还可能在您不知情的情况下出售您网站的反向链接或使用您的内容创建指向其网站的链接。 或者最糟糕的是,他们可以摧毁整个网站并将其关闭。

这种黑客最糟糕的部分是,在您的托管服务提供商或搜索引擎禁止您的网站之前,您不会知道任何这些。

为了避免这种情况,您可以通过以下步骤禁用 PHP 执行。

  • 在 cPanel 网站根目录的“Uploads”文件夹中创建一个 .htaccess 文件。

  • 使用记事本(在 Windows 上)或 TextEdit(在 Mac 上)创建一个新文件。
  • 将以下代码粘贴到此文件中并将其另存为 .htaccess(而不是 .htaccess.txt)。

     # 开始 WordPress

     重写引擎开启
    RewriteBase /
     RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
     RewriteCond %{REQUEST_FILENAME} !-d
     重写规则。 /index.php [L]
     # 结束 WordPress
  • 将此文件上传到“上传”文件夹。
  • 现在,您有一个专门用于“上传”文件夹的新 .htaccess 文件。 右键单击以编辑它并粘贴以下代码。


     订单允许,拒绝
    拒绝一切

执行上述步骤后,您的网站将阻止执行任何包含“PHP”的外部文件。 此更改将为您网站的安全墙添加另一块砖。

另外,请注意,使用这种方法有点冒险。 即使是微不足道的错误也会损坏您的网站。 因此,如果您不确定是否要使用 cPanel,请咨询相关人员。

6. 缺少 SSL 证书

虽然http://yoursite.comhttps://yoursite.com都将加载相同的网页,但有一点差异可能会破坏交易。

SSL 证书。

上面示例中的第一个 URL 没有使用 SSL 证书,而第二个示例是。

 这会使访问者的设备和您的网络服务器之间的通信处于危险之中,从而极大地影响网站的安全性。

SSL 证书对信息进行加密,因此除了预期的接收者之外,任何人都无法访问它。 为了保护您的网站免受此类泄漏,建议尽早安装 SSL 证书。

 安装 SSL 证书通常很简单,也很容易做到。 您通常可以从托管服务提供商处购买 SSL 证书,但如果他们不出售 SSL 服务,您应该考虑从其他提供商处购买。

从您的托管服务提供商处获取 SSL 证书也可以为您省去安装的麻烦。 他们将设置所有内容,您只需将“http”页面重定向到“https”。

总之

未能保护您的 WordPress 网站免受安全威胁可能会以多种方式损害您的业务。 毫不奇怪,所有网站管理员都需要注意网站安全并拥有足够的备份插件和系统。 尽管您尽了最大的努力,但如果最坏的情况发生并且您的网站遭到恶意攻击; UpdraftPlus 可以提供安全可靠的备份和恢复选项。 这将有助于确保您的网站始终拥有所有重要的安全网,即使发生黑客攻击也是如此。

在这篇文章中,您已经阅读了大约 6 个漏洞,这些漏洞可能会因黑客而使您的 WordPress 网站安全面临风险。 希望本文能帮助您保护您的网站并将其安全性提升到一个新的水平。

瓦伊巴夫·卡卡尔

您的 WordPress 网站容易受到黑客攻击的 6 个原因的帖子首先出现在 UpdraftPlus 上。 UpdraftPlus – WordPress 的备份、恢复和迁移插件。