WordPress网站被黑客攻击的11个主要原因(以及如何防止它)
最近,我们的一位读者问我们为什么WordPress网站被黑客入侵?发现你的WordPress网站遭到黑客攻击是令人沮丧的。在本文中,我们将分享WordPress网站被黑客入侵的主要原因,以便您可以避免这些错误并保护您的网站。
为什么WordPress被黑客攻击?
首先,它不仅仅是WordPress。互联网上的所有网站都容易遭受黑客攻击。
WordPress网站成为共同目标的原因是因为WordPress是世界上最受欢迎的网站建设者。它支持超过31%的网站,这意味着全球数亿个网站。
这种极大的受欢迎程度使黑客能够轻松找到不太安全的网站,因此他们可以利用它。
黑客有不同的动机来破解网站。有些是初学者,他们只是在学习利用安全性较低的网站。
一些黑客有恶意的意图,如分发恶意软件,使用网站攻击其他网站,或垃圾邮件互联网。
话虽如此,让我们来看看WordPress网站被黑客入侵的一些主要原因,以及如何防止您的网站被黑客入侵。
1.不安全的虚拟主机
与所有网站一样,WordPress网站托管在Web服务器上。一些托管公司没有妥善保护其托管平台。这使得在其服务器上托管的所有网站都容易受到黑客攻击。
通过为您的网站选择最好的WordPress托管服务提供商,可以轻松避免这种情况。它确保您的网站托管在安全的平台上。适当安全的服务器可以阻止许多对WordPress站点的最常见攻击。
如果您想采取额外的预防措施,那么我们建议您使用托管的WordPress托管服务提供商。
2.使用弱密码
密码是WordPress网站的关键。您需要确保为以下每个帐户使用强大的唯一密码,因为它们都可以为黑客提供对您网站的完全访问权限。
所有这些帐户都受密码保护。使用弱密码可以让黑客更容易使用一些基本的黑客工具破解密码。
您可以通过为每个帐户使用唯一且强大的密码来轻松避免这种情况。请参阅我们的指南,了解管理WordPress初学者密码的最佳方法,以了解如何管理所有这些强密码。
3.不受保护的WordPress管理员访问权限(wp-admin目录)
WordPress管理区域为用户提供了在WordPress网站上执行不同操作的权限。它也是WordPress站点中最常被攻击的区域。
让它不受保护允许黑客尝试不同的方法来破解您的网站。您可以通过向WordPress管理目录添加身份验证层来使它们变得困难。
首先,您应密码保护您的WordPress管理区域。这会增加额外的安全层,任何试图访问WordPress管理员的人都必须提供额外的密码。
如果您运行多作者或多用户WordPress站点,则可以为站点上的所有用户强制使用强密码。您还可以添加双因素身份验证,以使黑客更难进入您的WordPress管理区域。
4.文件权限不正确
文件权限是Web服务器使用的一组规则。这些权限可帮助您的Web服务器控制对您网站上文件的访问。不正确的文件权限可以让黑客有权编写和更改这些文件。
所有WordPress文件都应具有644值作为文件权限。 WordPress网站上的所有文件夹都应具有755作为其文件权限。
请参阅我们的指南,了解如何解决WordPress中的图像上传问题,以了解如何应用这些文件权限。
5.不更新WordPress
一些WordPress用户害怕更新他们的WordPress网站。他们担心这样做会破坏他们的网站。
WordPress的每个新版本都修复了错误和安全漏洞。如果您没有更新WordPress,那么您故意让您的网站容易受到攻击。
如果您担心更新会破坏您的网站,那么您可以在运行更新之前创建完整的WordPress备份。这样,如果某些东西不起作用,那么您可以轻松恢复到以前的版本。
6.不更新插件或主题
就像核心WordPress软件一样,更新主题和插件同样重要。使用过时的插件或主题可能会使您的网站容易受到攻击。
通常在WordPress插件和主题中发现安全漏洞和错误。通常,主题和插件作者可以快速修复它们。但是,如果用户没有更新他们的主题或插件,那么他们无能为力。
确保您的WordPress主题和插件保持最新。
7.使用Plain FTP而不是SFTP / SSH
FTP帐户用于使用FTP客户端将文件上载到Web服务器。大多数托管提供商使用不同协议支持FTP连接。您可以使用普通FTP,SFTP或SSH进行连接。
当您使用普通FTP连接到您的站点时,您的密码将以未加密的方式发送到服务器。它可以被窥探并轻易被盗。您应该始终使用SFTP或SSH,而不是使用FTP。
您无需更改FTP客户端。大多数FTP客户端都可以通过SFTP和SSH连接到您的网站。您只需在连接到您的网站时将协议更改为“SFTP – SSH”。
8.使用Admin作为WordPress用户名
建议不要使用“admin”作为WordPress用户名。如果您的管理员用户名是admin,则应立即将其更改为其他用户名。
有关详细说明,请查看有关如何更改WordPress用户名的教程。
9.无效的主题和插件
互联网上有许多网站免费分发付费的WordPress插件和主题。有时很容易在您的网站上使用那些无效的插件和主题。
从不可靠的来源下载WordPress主题和插件是非常危险的。它们不仅可以危及您网站的安全性,还可以用于窃取敏感信息。
您应该始终从可靠的来源下载WordPress插件和主题,例如插件/主题开发人员网站或官方WordPress存储库。
如果您买不起或不想购买高级插件或主题,那么这些产品总是有免费的替代品。这些免费插件可能不如付费对象,但他们将完成工作,最重要的是保持您的网站安全。
您还可以在我们网站的交易部分找到许多流行的WordPress产品的折扣。
10.不保护WordPress配置wp-config.php文件
WordPress配置文件wp-config.php包含您的WordPress数据库登录凭据。如果它被泄露,那么它将揭示可能使黑客完全访问您的网站的信息。
您可以通过使用.htaccess拒绝访问wp-config文件来添加额外的保护层。只需将此小代码添加到.htaccess文件即可。
<files wp-config.php> order allow,deny deny from all </files>
11.不更改WordPress表前缀
许多专家建议您更改默认的WordPress表前缀。默认情况下,WordPress使用WP_作为它在数据库中创建的表的前缀。您可以选择在安装期间更改它。
建议您使用更复杂的前缀。这将使黑客更难猜测您的数据库表名称。
有关详细说明,请参阅有关如何更改WordPress数据库前缀以提高安全性的指南。
清理黑客WordPress网站
清理一个被黑的WordPress网站真的很痛苦。但是,它可以做到。
这里有一些资源可以帮助您开始清理被黑网站的WordPress网站:
- 初学者指南修复你被黑的WordPress网站
- 如何扫描您的WordPress网站以查找潜在的恶意代码
- 如何在黑客攻击的WordPress网站中找到后门并修复它
- 当你被锁定在WordPress管理员之外时该怎么办(wp-admin)
- 初学者指南:如何从备份恢复WordPress
奖金提示
对于坚如磐石的安全性,我们在所有WordPress站点上使用Sucuri。 Sucuri提供恶意软件检测和删除服务以及网站防火墙,可以保护您的网站免受最常见的威胁。
了解Sucuri如何帮助我们在3个月内阻止450,000次WordPress攻击
我们希望本文能帮助您了解WordPress网站被黑客入侵的主要原因。您可能还希望看到我们的最终WordPress安全指南,以保护您的WordPress网站。