[WordPress 安全統計] WordPress 網站被黑客入侵的 4 個主要原因以及如何防止它
已發表: 2021-02-22WordPress 為互聯網上 34% 的網站提供支持,並在 CMS 市場擁有 60.8% 的市場份額,毫無疑問,它是世界上最受歡迎的內容管理系統。 然而,這種巨大的受歡迎程度也帶來了成本。
年復一年,WordPress 安全一直是一個亟待解決的問題。 關於 Sucuri 的研究,在 8,000 個受感染的網站中,其中 74% 是基於 WordPress 構建的。 Wordfence 還發現,每分鐘對 WordPress 網站的攻擊多達 90,000 次。
那麼,為什麼 WordPress 會受到黑客的高度攻擊呢?
WordPress網站被黑客入侵的原因有很多。 在本文中,我們將重點關注 4 個主要原因以及通過各種來源篩選的實際 WordPress 黑客統計數據。 此外,我們還提供了一些關於如何確保 WordPress 安全性的有用建議。
讓我們潛入吧!
- 不安全的虛擬主機
- 弱密碼
- 過時的 WordPress 網站
- 過時或無效的主題和插件
- 如何確保 WordPress 安全
不安全的虛擬主機
“41% 的 WordPress 網站因為易受攻擊的託管平台而受到攻擊。”
與任何網站類似,WordPress 託管在網絡主機或服務器上。 大多數 WordPress 網站所有者在選擇虛擬主機時似乎沒有認真考慮。 通常,他們將網站託管在共享託管計劃上,因為它更實惠。 不幸的是,這成為攻擊者利潤豐厚的獵物。
對該共享服務器的任何成功黑客攻擊都可能導致您網站的漏洞,因為黑客可以通過該被黑客入侵的網站訪問您的網站。
弱密碼
這是暴力攻擊成功的最常見原因之一。 WP Smackdown 證明 8% 的 WordPress 網站因為密碼弱而被黑客入侵。
令人驚訝的是,即使到目前為止,人們仍在使用簡單易猜的常用密碼,如“123456”或“密碼”來保護他們的網站。 NordPass 總結了 2020 年的頂級密碼使用情況,他們揭示的內容會讓您大吃一驚。
| 前 10 個密碼 | 用戶數 | 是時候破解它了 |
| 123456 | 2,543,285 | 不到一秒 |
| 123456789 | 961,435 | 不到一秒 |
| 圖片1 | 371,612 | 3小時 |
| 密碼 | 360,467 | 不到一秒 |
| 12345678 | 322,187 | 不到一秒 |
| 111111 | 230,507 | 不到一秒 |
| 123123 | 189,327 | 不到一秒 |
| 12345 | 188,268 | 不到一秒 |
| 1234567890 | 171,724 | 不到一秒 |
| 森哈 | 167,728 | 10 秒 |
他們的研究指出,用戶傾向於將易於記憶的數字或字母字符串設置為密碼。 另外,為了方便,他們傾向於為多個帳戶重複使用相同的密碼。 最重要的是密碼越容易記住,就越容易被破解。
過時的 WordPress 版本
過時的 WordPress 版本是網站被黑的最大原因之一。 Sucuri 的一項研究表明,36.7% 的被黑網站運行的是過時版本。
新版本將添加更高級的功能並修復舊版本的漏洞。 但是,一些用戶甚至禁用了自我更新功能。 根據 WordPress,只有 32.2% 的 WordPress 用戶已將其網站更新到最新版本 5.6。
為什麼用戶拒絕更新他們的網站?
主要藉口有:
- 由於忙碌(或懶惰),他們往往會延遲或忘記更新通知。
- 他們擔心更新會影響他們網站的性能。
但是你知道,有時,無知會讓你付出很多代價。 2012 年入侵路透社博客平台就是一個典型的教訓。
路透社忘記讓 WordPress 安裝保持最新狀態,這讓黑客有機會攻擊他們的網站。 他們在路透社的網站上塞滿了許多虛假帖子,包括據稱對西伯利亞叛軍領導人的採訪。 當時,路透社使用的是 3.1.1 版本而不是 3.4.1。
過時或無效的主題和插件
由於主題和插件漏洞,許多網站所有者都遭受過攻擊。 雖然 WordPress 立即使用安全補丁更新其核心,但該改進不適用於其插件。
根據 WP Scan 的統計,截至 2020 年,WordPress 漏洞已達 21,936 個。 其中,報告的 WordPress 漏洞分別有 52% 和 11% 與插件和主題有關,而 WordPress 核心則佔其餘部分。
更重要的是,在 Wordfence 2020 WordPress 報告中,Wordfence 強調來自無效插件和主題的惡意軟件對 WordPress 安全構成威脅。 WP Scan 和 Wordfence 都同意跨站點腳本和 SQL 注入是 WordPress 插件和主題中最流行的漏洞類型。
查看 Wpwhitesecurity 列出的 10 個最易受攻擊的主題和插件(最後更新於 2020 年 10 月 8 日),您會感到驚訝。
十大最易受攻擊的插件: 
在上圖中,Nextgen Gallery、Ninja Forms 和 WooCommerce 以 20 多個漏洞位居前 3 名。 甚至一個名為“All In One WP Security & Firewall”的安全插件也出現在此列表中,這意味著安全插件也可能成為黑客的目標。
十大最脆弱的主題: 
所附圖表顯示,與插件相比,主題不會導致很多漏洞。 漏洞數量最多的是五個,屬於 Echelon 和 Traveler 主題。 那是因為主題不像插件那樣涉及擴展功能。 他們主要負責 WordPress 網站的外觀和感覺。
如何確保 WordPress 安全
從上面令人震驚的 WordPress 安全統計數據和事實中,我們總結了 5 個可行的解決方案來幫助您確保您的 WordPress 安全。 你現在需要做的是:
- 投資您的虛擬主機
- 創建唯一密碼
- 保持您的網站更新
- 使用 WordPress 安全插件
- 避免使用無效的主題和插件
投資您的虛擬主機
你得到你所付出的。 選擇可靠的網絡託管將大大降低您的網站被黑客入侵的可能性。 高質量的虛擬主機不僅支持最新版本的 PHP 和 MySQL,還提供惡意軟件掃描和定期備份。
強烈建議使用專用服務器作為最安全的託管選項。 當然,它的成本很高,但如果您的網站訪問量很大並且包含敏感數據,它會非常有用。
遠離共享託管解決方案。 但是,如果您已經在使用共享主機計劃,請切換到 VPS 主機。
創建唯一密碼
安全密碼不僅對 WordPress 管理員帳戶而且對網絡託管、FTP 帳戶和 MySQL 數據庫都是必需的。
要創建強密碼,首先,您需要避免使用常見的相鄰數字或字母,例如“1234567”或“abcdef”,以及重複字符,包括“abc123”或“111111111”。
除此之外,不要為不同的網站使用相同的密碼。 您應該為每個帳戶提供一個至少包含 8 個字符的長、複雜且可靠的密碼。
理想的密碼應混合在單詞、數字和符號之間,例如!wdf34*de5。 不要忘記每 90 天后定期重置密碼。
保持您的網站更新
為了避免成為第二個路透社,您需要做的就是將您的 WordPress 網站更新到最新版本。 請注意儀表板中的更新通知。
如果您擔心更新會破壞您的站點,則應在運行更新之前創建備份並在您的臨時站點上測試更新。
使用 WordPress 安全插件
安裝 WordPress 安全插件是保護您的網站免受任何類型攻擊(包括惡意軟件)的最簡單但最有效的解決方案。
選擇允許您掃描漏洞、強制使用強密碼、阻止惡意網絡、實施防火牆等的安全插件。 該領域有大量可靠的 WordPress 安全插件,其中幾個大人物是 Sucuri、Wordfence 和 BlogVault。
避免使用空主題和插件
無效插件和主題是高級插件和主題的黑客版本,缺少許可證檢查功能。 通常,該功能會從這些插件和主題中禁用或刪除,這會導致潛在的惡意惡意軟件。
我們不能否認無效的插件和主題很誘人,因為它們是免費且易於下載的。 但是,請考慮這個想法:如果您使用這些盜版副本,則沒有安全修復程序,因為它們的開發人員不會有任何可用的更新。
因此,我們建議您從受信任的網站下載原創插件或主題,或將資金投資於優質網站。 從長遠來看,您既可以保護您的網站,又可以在安全修復中獲得新功能或進一步支持。
結論
本文向您介紹了 WordPress 被實際數字攻擊的 4 個主要原因。 提供的 WordPress 黑客統計數據旨在強調加強 WordPress 安全性的重要性。
我們還就如何防止 WordPress 遭受潛在攻擊提出了有用的建議。 “預防勝於治療。” 您應該特別注意選擇您的虛擬主機、更新您的 WordPress 核心、插件和主題,以及創建強密碼。
您是否希望我們在本文中分享任何 WordPress 黑客統計數據,但我們錯過了? 你有過網站開發的經驗嗎? 隨時在下面的評論部分與我們分享!