[WordPress 安全统计] WordPress 网站被黑客入侵的 4 个主要原因以及如何防止它
已发表: 2021-02-22WordPress 为互联网上 34% 的网站提供支持,并在 CMS 市场拥有 60.8% 的市场份额,毫无疑问,它是世界上最受欢迎的内容管理系统。 然而,这种巨大的受欢迎程度也带来了成本。
年复一年,WordPress 安全一直是一个亟待解决的问题。 关于 Sucuri 的研究,在 8,000 个受感染的网站中,其中 74% 是基于 WordPress 构建的。 Wordfence 还发现,每分钟对 WordPress 网站的攻击多达 90,000 次。
那么,为什么 WordPress 会受到黑客的高度攻击呢?
WordPress网站被黑客入侵的原因有很多。 在本文中,我们将重点关注 4 个主要原因以及通过各种来源筛选的实际 WordPress 黑客统计数据。 此外,我们还提供了一些关于如何确保 WordPress 安全性的有用建议。
让我们潜入吧!
- 不安全的虚拟主机
- 弱密码
- 过时的 WordPress 网站
- 过时或无效的主题和插件
- 如何确保 WordPress 安全
不安全的虚拟主机
“41% 的 WordPress 网站因为易受攻击的托管平台而受到攻击。”
与任何网站类似,WordPress 托管在网络主机或服务器上。 大多数 WordPress 网站所有者在选择虚拟主机时似乎没有认真考虑。 通常,他们将网站托管在共享托管计划上,因为它更实惠。 不幸的是,这成为攻击者利润丰厚的猎物。
对该共享服务器的任何成功黑客攻击都可能导致您网站的漏洞,因为黑客可以通过该被黑客入侵的网站访问您的网站。
弱密码
这是暴力攻击成功的最常见原因之一。 WP Smackdown 证明 8% 的 WordPress 网站因为密码弱而被黑客入侵。
令人惊讶的是,即使到目前为止,人们仍在使用简单易猜的常用密码,如“123456”或“密码”来保护他们的网站。 NordPass 总结了 2020 年的顶级密码使用情况,他们揭示的内容会让您大吃一惊。
| 前 10 个密码 | 用户数 | 是时候破解它了 |
| 123456 | 2,543,285 | 不到一秒 |
| 123456789 | 961,435 | 不到一秒 |
| 图片1 | 371,612 | 3小时 |
| 密码 | 360,467 | 不到一秒 |
| 12345678 | 322,187 | 不到一秒 |
| 111111 | 230,507 | 不到一秒 |
| 123123 | 189,327 | 不到一秒 |
| 12345 | 188,268 | 不到一秒 |
| 1234567890 | 171,724 | 不到一秒 |
| 森哈 | 167,728 | 10 秒 |
他们的研究指出,用户倾向于将易于记忆的数字或字母字符串设置为密码。 另外,为了方便,他们倾向于为多个帐户重复使用相同的密码。 最重要的是密码越容易记住,就越容易被破解。
过时的 WordPress 版本
过时的 WordPress 版本是网站被黑的最大原因之一。 Sucuri 的一项研究表明,36.7% 的被黑网站运行的是过时版本。
新版本将添加更高级的功能并修复旧版本的漏洞。 但是,一些用户甚至禁用了自我更新功能。 根据 WordPress,只有 32.2% 的 WordPress 用户已将其网站更新到最新版本 5.6。
为什么用户拒绝更新他们的网站?
主要借口有:
- 由于忙碌(或懒惰),他们往往会延迟或忘记更新通知。
- 他们担心更新会影响他们网站的性能。
但是你知道,有时,无知会让你付出很多代价。 2012 年入侵路透社博客平台就是一个典型的教训。
路透社忘记让 WordPress 安装保持最新状态,这让黑客有机会攻击他们的网站。 他们在路透社的网站上塞满了许多虚假帖子,包括据称对西伯利亚叛军领导人的采访。 当时,路透社使用的是 3.1.1 版本而不是 3.4.1。
过时或无效的主题和插件
由于主题和插件漏洞,许多网站所有者都遭受过攻击。 虽然 WordPress 立即使用安全补丁更新其核心,但该改进不适用于其插件。
根据 WP Scan 的统计,截至 2020 年,WordPress 漏洞已达 21,936 个。 其中,报告的 WordPress 漏洞分别有 52% 和 11% 与插件和主题有关,而 WordPress 核心则占其余部分。
更重要的是,在 Wordfence 2020 WordPress 报告中,Wordfence 强调来自无效插件和主题的恶意软件对 WordPress 安全构成威胁。 WP Scan 和 Wordfence 都同意跨站点脚本和 SQL 注入是 WordPress 插件和主题中最流行的漏洞类型。
查看 Wpwhitesecurity 列出的 10 个最易受攻击的主题和插件(最后更新于 2020 年 10 月 8 日),您会感到惊讶。
十大最易受攻击的插件: 
在上图中,Nextgen Gallery、Ninja Forms 和 WooCommerce 以 20 多个漏洞位居前 3 名。 甚至一个名为“All In One WP Security & Firewall”的安全插件也出现在此列表中,这意味着安全插件也可能成为黑客的目标。
十大最脆弱的主题: 
所附图表显示,与插件相比,主题不会导致很多漏洞。 漏洞数量最多的是五个,属于 Echelon 和 Traveler 主题。 那是因为主题不像插件那样涉及扩展功能。 他们主要负责 WordPress 网站的外观和感觉。
如何确保 WordPress 安全
从上面令人震惊的 WordPress 安全统计数据和事实中,我们总结了 5 个可行的解决方案来帮助您确保您的 WordPress 安全。 你现在需要做的是:
- 投资您的虚拟主机
- 创建唯一密码
- 保持您的网站更新
- 使用 WordPress 安全插件
- 避免使用无效的主题和插件
投资您的虚拟主机
你得到你所付出的。 选择可靠的网络托管将大大降低您的网站被黑客入侵的可能性。 高质量的虚拟主机不仅支持最新版本的 PHP 和 MySQL,还提供恶意软件扫描和定期备份。
强烈建议使用专用服务器作为最安全的托管选项。 当然,它的成本很高,但如果您的网站访问量很大并且包含敏感数据,它会非常有用。
远离共享托管解决方案。 但是,如果您已经在使用共享主机计划,请切换到 VPS 主机。
创建唯一密码
安全密码不仅对 WordPress 管理员帐户而且对网络托管、FTP 帐户和 MySQL 数据库都是必需的。
要创建强密码,首先,您需要避免使用常见的相邻数字或字母,例如“1234567”或“abcdef”,以及重复字符,包括“abc123”或“111111111”。
除此之外,不要为不同的网站使用相同的密码。 您应该为每个帐户提供一个至少包含 8 个字符的长、复杂且可靠的密码。
理想的密码应混合在单词、数字和符号之间,例如!wdf34*de5。 不要忘记每 90 天后定期重置密码。
保持您的网站更新
为了避免成为第二个路透社,您需要做的就是将您的 WordPress 网站更新到最新版本。 请注意仪表板中的更新通知。
如果您担心更新会破坏您的站点,则应在运行更新之前创建备份并在您的临时站点上测试更新。
使用 WordPress 安全插件
安装 WordPress 安全插件是保护您的网站免受任何类型攻击(包括恶意软件)的最简单但最有效的解决方案。
选择允许您扫描漏洞、强制使用强密码、阻止恶意网络、实施防火墙等的安全插件。 该领域有大量可靠的 WordPress 安全插件,其中几个大人物是 Sucuri、Wordfence 和 BlogVault。
避免使用空主题和插件
无效插件和主题是高级插件和主题的黑客版本,缺少许可证检查功能。 通常,该功能会从这些插件和主题中禁用或删除,这会导致潜在的恶意恶意软件。
我们不能否认无效的插件和主题很诱人,因为它们是免费且易于下载的。 但是,请考虑这个想法:如果您使用这些盗版副本,则没有安全修复程序,因为它们的开发人员不会有任何可用的更新。
因此,我们建议您从受信任的网站下载原创插件或主题,或将资金投资于优质网站。 从长远来看,您既可以保护您的网站,又可以在安全修复中获得新功能或进一步支持。
结论
本文向您介绍了 WordPress 被实际数字攻击的 4 个主要原因。 提供的 WordPress 黑客统计数据旨在强调加强 WordPress 安全性的重要性。
我们还就如何防止 WordPress 遭受潜在攻击提出了有用的建议。 “预防胜于治疗。” 您应该特别注意选择您的虚拟主机、更新您的 WordPress 核心、插件和主题,以及创建强密码。
您是否希望我们在本文中分享任何 WordPress 黑客统计数据,但我们错过了? 你有过网站开发的经验吗? 随时在下面的评论部分与我们分享!