您的 WordPress 網站容易受到黑客攻擊的 6 個原因

已發表: 2019-04-26

憑藉 WordPress 提供的出色功能和自定義選項,幾乎 33% 的網站使用 WordPress CMS 也就不足為奇了。 但是,潛在的安全問題可能會再次困擾網站所有者。

事實上,最近一項研究分析了 8,000 個被黑網站,其中74%使用 WordPress。

如果您使用的是 WordPress 網站,請務必確保正確設置安全性以將風險降至最低。

那麼最好的行動方案是什麼?

以下安全問題是一些最重要的問題,可能會使您的 WordPress 網站容易受到黑客攻擊。 識別並解決這些問題很重要; 馬上。

1. 不安全的託管服務

製作網站的主要資源之一是網絡託管。

從您網站的性能到其安全性,您的託管服務都會影響到這一切。 因此,選擇提供足夠安全性的託管服務提供商至關重要。

在您考慮和分析您的託管選項時,以下提示應該對您有所幫助。

    • 瀏覽它提供的所有安全功能。
    • 了解在託管方面,昂貴並不總是意味著更好。
    • 一些提供商的入門級計劃的成本與其他託管服務提供商的高端計劃一樣高。 這並不總是意味著它們可以進行比較。
    • 了解兩種最流行的託管服務類型之間的區別。

       共享主機:
       共享託管服務提供可以檢測 WordPress 惡意軟件的基本安全掃描。
       它還允許您跟踪訪問您網站的訪問者。 這可以幫助您識別有害訪問者並阻止他們的 IP 地址。
       共享託管服務的主要亮點是它能夠託管多個網站,這也使得它比其他託管類型便宜很多。

       託管主機:
       這是一種託管服務,它為安全提供防火牆以及常規惡意軟件掃描。
       一些提供商提供“託管託管服務”,限制對 WordPress 文件和文件夾的訪問以確保它們的安全。
       例如,WP-Engine 阻止更改所有PHP 文件,而 Pantheon 不允許在文件夾上寫入,除了包含主題和插件數據的文件夾。
  • 測試客戶支持:
     客戶支持是您在比較託管服務提供商時需要考慮的另一個因素。

     無論是微不足道的問題還是徹底的崩潰; 如果是關於託管服務,提供商應該提供全面的客戶支持。

     要了解提供商的支持系統的合格程度,只需獲取他們的聯繫方式並與他們聯繫即可。 問他們你所有的問題,看看他們在解決你的問題時有多耐心和合作。

     根據此經驗,您將了解他們在發生安全漏洞時將如何反應。 這應該可以幫助您決定是否要從他們那裡購買。

如果您已經從錯誤的提供商處購買了託管計劃,請不要擔心。 您不必等待計劃到期。 BlogVault 和 Migrate Guru 等服務可以幫助您輕鬆遷移到不同的託管服務提供商。

2.系統更新

與任何其他 CMS 一樣,WordPress 需要定期更新。 忽略這一點可能會使您的 WordPress 網站成為潛在的安全風險。

事實上,被黑客入侵的 WordPress 網站中有80%都在運行過時的主題和/或插件。 大開眼界吧?

作為一個擁有數千名開發不同主題和插件的開發人員的開源 CMS,這意味著您的 WordPress 儀表板可能會根據您使用的插件和主題收到許多更新。

您需要確保所有核心主題和插件都更新到最新版本。

 更新插件的步驟:

  • 打開您的 WordPress 儀表板並轉到插件 > 已安裝插件

  • 儀表板將帶您進入顯示已安裝插件的頁面。

     識別待更新的插件,然後單擊“立即更新”。

同樣,您可以通過轉到外觀 > 主題以幾乎相同的方式更新您網站上的主題。

這也將解鎖添加到主題/插件/系統的最新功能。 這有助於同時維護您網站的安全性和穩定性。

3.盜版主題或插件

雖然建立一個 WordPress 網站不會在你的口袋裡燒個洞,但讓它美觀且功能豐富,因為一個好的 WordPress 主題/插件可能會花費你 10 到 200 美元之間的任何費用。

為了逃避這些“據稱”不請自來的費用,網站管理員經常採取更便宜的路線並使用無效/盜版插件/主題,這些插件/主題可以免費或以微不足道的價格獲得。

這樣做的結果是什麼?

在許多情況下,使用無效主題的網站無意中通過以下 URL 授予黑客後門訪問權限: http ://www.example.xyz?backdoor=go

 當 URL 觸發網站的後門時,黑客能夠訪問該網站,並使用以下憑據創建一個新的 WordPress 管理員帳戶:

 用戶名: backdooradmin
 密碼: Pa55W0rd

這通常是由實際主題所有者添加到functions.php文件中的附加短代碼的結果。

使您的網站免受此類風險。 始終從官方WordPress 存儲庫或其他受信任的來源(例如 Theme Forest 或 Themeisle)獲取主題和插件。

4. 虛擬登錄詳情

默認登錄頁面:
 使用相同的舊用戶名和易於猜測的密碼可以讓試圖進入您網站後端的黑客更加輕鬆。

怎麼修?

  • 用戶名和密碼問題:
     嘗試創建一個您沒有在其他帳戶上使用過的用戶名和密碼。

     請注意,擁有唯一的用戶名至關重要。 如果用戶名很容易猜到,那麼黑客唯一需要找出的就是您的密碼。

     確保永遠不要在您的網站上顯示您的用戶名。 這樣做就像給黑客一個私人邀請,讓他們在你的 WordPress 儀表板上大快朵頤。 相反,請使用與用戶名不同的暱稱或標題。 默認登錄頁面 URL 問題: www.yoursite.com/wp-admin

     這是 WordPress 登錄頁面 URL 的最輕鬆和最常見的選擇,它使您的網站容易受到黑客攻擊。

     大多數黑客不會手動攻擊。 他們對機器人進行編程以訪問登錄頁面並破解目標站點的登錄憑據。

     使用默認登錄頁面 URL 將減少試圖進入您網站的機器人和黑客的工作量。

     最好的辦法是更改默認登錄 URL。

     例如,將 – www.yoursite.com/wp-admin更改www.yoursite.com/welcometomysite

     為此,請按照以下簡單步驟操作。

     – 首先,使用 UpdraftPlus對您的 WordPress 網站進行完整備份

    – 然後安裝並激活“Easy Hide Login”插件(它是免費的)。
    – 轉到插件的設置並提交您選擇的登錄信息(例如“welcometomysite”)。

     – 這會將您的 WordPress 登錄地址從yoursite.com/wp-admin更改為yoursite.com/welcometomysite ,並使人們更難入侵您的網站。


 5. 可寫的 PHP 文件

就像網絡上或網絡外的任何其他計算機程序一樣,WordPress 網站也由文件和文件夾組成。

這些文件夾之一是“上傳”文件夾。 此文件夾存儲您網站的所有主題和插件數據。

潛在的黑客可以找到一種方法將 PHP 代碼上傳到此文件夾以訪問您的網站。

一旦黑客通過這種方法獲得了訪問權限,他們就可以竊取您計劃在未來發布的內容以及其他重要資源,例如您的郵件列表中的電子郵件地址。 他們還可能在您不知情的情況下出售您網站的反向鏈接或使用您的內容創建指向其網站的鏈接。 或者最糟糕的是,他們可以摧毀整個網站並將其關閉。

這種黑客最糟糕的部分是,在您的託管服務提供商或搜索引擎禁止您的網站之前,您不會知道任何這些。

為了避免這種情況,您可以通過以下步驟禁用 PHP 執行。

  • 在 cPanel 網站根目錄的“Uploads”文件夾中創建一個 .htaccess 文件。

  • 使用記事本(在 Windows 上)或 TextEdit(在 Mac 上)創建一個新文件。
  • 將以下代碼粘貼到此文件中並將其另存為 .htaccess(而不是 .htaccess.txt)。

     # 開始 WordPress

     重寫引擎開啟
    RewriteBase /
     RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
     RewriteCond %{REQUEST_FILENAME} !-d
     重寫規則。 /index.php [L]
     # 結束 WordPress
  • 將此文件上傳到“上傳”文件夾。
  • 現在,您有一個專門用於“上傳”文件夾的新 .htaccess 文件。 右鍵單擊以編輯它並粘貼以下代碼。


     訂單允許,拒絕
    拒絕一切

執行上述步驟後,您的網站將阻止執行任何包含“PHP”的外部文件。 此更改將為您網站的安全牆添加另一塊磚。

另外,請注意,使用這種方法有點冒險。 即使是微不足道的錯誤也會損壞您的網站。 因此,如果您不確定是否要使用 cPanel,請諮詢相關人員。

6. 缺少 SSL 證書

雖然http://yoursite.comhttps://yoursite.com都將加載相同的網頁,但有一點差異可能會破壞交易。

SSL 證書。

上面示例中的第一個 URL 沒有使用 SSL 證書,而第二個示例是。

 這會使訪問者的設備和您的網絡服務器之間的通信處於危險之中,從而極大地影響網站的安全性。

SSL 證書對信息進行加密,因此除了預期的接收者之外,任何人都無法訪問它。 為了保護您的網站免受此類洩漏,建議儘早安裝 SSL 證書。

 安裝 SSL 證書通常很簡單,也很容易做到。 您通常可以從託管服務提供商處購買 SSL 證書,但如果他們不出售 SSL 服務,您應該考慮從其他提供商處購買。

從您的託管服務提供商處獲取 SSL 證書也可以為您省去安裝的麻煩。 他們將設置所有內容,您只需將“http”頁面重定向到“https”。

總之

未能保護您的 WordPress 網站免受安全威脅可能會以多種方式損害您的業務。 毫不奇怪,所有網站管理員都需要注意網站安全並擁有足夠的備份插件和系統。 儘管您盡了最大的努力,但如果最壞的情況發生並且您的網站遭到惡意攻擊; UpdraftPlus 可以提供安全可靠的備份和恢復選項。 這將有助於確保您的網站始終擁有所有重要的安全網,即使發生黑客攻擊也是如此。

在這篇文章中,您已經閱讀了大約 6 個漏洞,這些漏洞可能會因黑客而使您的 WordPress 網站安全面臨風險。 希望本文能幫助您保護您的網站並將其安全性提升到一個新的水平。

瓦伊巴夫·卡卡爾

您的 WordPress 網站容易受到黑客攻擊的 6 個原因的帖子首先出現在 UpdraftPlus 上。 UpdraftPlus – WordPress 的備份、恢復和遷移插件。