WordPress网站经常被黑客攻击的11个主要原因

转载   WPBeginner  2018-09-12 07:10:26  343 人阅读  27 条评论

最近,我们的一位读者问我们为什么 WordPress 网站经常被黑客入侵?在本文中,我们将分享 WordPress 网站经常被黑客攻击的 11 个主要原因,以便您可以避免这些错误并保护您的网站。

WordPress网站经常被黑客攻击的11个主要原因 WordPress 第1张

为什么 WordPress站点经常被黑客攻击?

首先,它不仅仅是WordPress 站点,互联网上所有网站都容易遭受黑客攻击。而 WordPress 网站成为攻击的目标主要原因是因为 WordPress 是世界上最受欢迎的网站建设者,它支持超过 31%的网站,这意味着全球数亿个网站。WordPress 极大的受欢迎程度使黑客能够轻松找到不太安全的网站,因此他们可以利用它。

黑客有不同的动机来破解网站,有些是初学者,他们只是在学习利用安全性较低的网站。有些黑客有恶意的意图,如分发恶意软件,使用网站攻击其他网站,或转发垃圾邮件等等。话虽如此,让我们来看看 WordPress 网站被黑客入侵的一些主要原因,以及如何防止您的网站被黑客入侵。

1、使用不安全的虚拟主机

与所有网站一样,WordPress 网站托管在 Web 服务器上。一些托管公司没有妥善保护其托管平台,这使得在其服务器上托管的所有网站都容易受到黑客攻击。通过为您的网站选择最好的 WordPress 托管服务提供商,可以轻松避免这种情况。它确保您的网站托管在安全的平台上,适当安全的服务器可以阻止许多对 WordPress 站点的最常见攻击。

2、使用弱密码

WordPress网站经常被黑客攻击的11个主要原因 WordPress 第2张

密码是 WordPress 网站的关键,您需要确保为以下每个帐户使用强大的唯一密码,因为它们都可以为黑客提供对您网站的完全访问权限。

  • WordPress 管理员帐户
  • Web 主机控制面板帐户
  • FTP 帐户
  • 用于 WordPress 站点的 MySQL 数据库
  • 用于 WordPress 管理员或托管帐户的电子邮件帐户

所有这些帐户都应该受密码保护,使用弱密码可以让黑客更容易使用一些基本的黑客工具破解密码。您可以通过为每个帐户使用唯一且强大的密码来轻松避免这种情况。

3、不受保护的 WordPress管理员访问权限(wp-admin目录)

WordPress 管理区域为用户提供了在 WordPress 网站上执行不同操作的权限,它也是 WordPress 站点中最常被攻击的区域。让它不受保护允许黑客尝试不同的方法来破解您的网站。您可以通过向 WordPress 管理目录添加身份验证层来使它们变得困难。

首先,您应密码保护您的 WordPress 管理区域,这会增加额外的安全层,任何试图访问 WordPress 管理员的人都必须提供额外的密码。如果您运行多作者或多用户 WordPress 站点,则可以为站点上的所有用户强制使用强密码。您还可以添加双因素身份验证,以使黑客更难进入您的 WordPress 管理区域。

4、文件权限不正确

WordPress网站经常被黑客攻击的11个主要原因 WordPress 第3张

文件权限是 Web 服务器使用的一组规则,这些权限可以帮助您的 Web 服务器控制对您网站上文件的访问。不正确的文件权限可以让黑客有权编写和更改这些文件。所有的 WordPress 文件都应具有 644 值作为文件权限。WordPress 网站上的所有文件夹都应具有755作为其文件权限。

5、不更新 WordPress

一些 WordPress 用户害怕更新他们的 WordPress 网站,他们担心这样做会破坏他们的网站。其实,WordPress 的每个新版本都修复了一些错误和安全漏洞,如果您没有及时更新 WordPress,那么您故意让您的网站容易受到攻击。如果您担心 WordPress 更新会破坏您的网站,那么您可以在运行更新之前创建完整的WordPress 备份。这样,如果某些东西不起作用,那么您可以轻松恢复到以前的版本。

6、不更新插件或主题

就像核心 WordPress 软件一样,更新主题和插件同样重要。使用过时的插件或主题可能会使您的网站容易受到攻击。通常在WordPress 插件和主题中发现安全漏洞和错误时,主题和插件作者都会快速修复它们。但是,如果用户没有及时更新他们的主题或插件,那么他们也就无能为力了。所以请确保您的 WordPress 主题和插件保持最新。

7、使用 Plain FTP而不是 SFTP / SSH

WordPress网站经常被黑客攻击的11个主要原因 WordPress 第4张

FTP 帐户用于使用FTP 客户端将文件上载到 Web 服务器,大多数托管提供商使用不同协议支持 FTP 连接。您可以使用普通 FTP、SFTP 或SSH进行连接。当您使用普通 FTP 连接到您的站点时,您的密码将以未加密的方式发送到服务器,这样很容易被窥探并轻易被盗取。您应该始终使用 SFTP 或 SSH,而不是使用 FTP。

其实,您无需更改 FTP 客户端,因为大多数 FTP 客户端都可以通过 SFTP 和 SSH 连接到您的网站。您只需在连接到您的网站时将协议更改为“SFTP - SSH”即可。

8、使用 Admin作为 WordPress用户名

建议不要使用“admin”作为 WordPress 用户名,如果您的管理员用户名是 admin,则应立即将其更改为其他用户名。如果不懂更改 WordPress 用户名请参阅《三种方法修改 WordPress 默认用户名 admin》。

9、无效的主题和插件

WordPress网站经常被黑客攻击的11个主要原因 WordPress 第5张

互联网上有许多网站免费分发付费的 WordPress 插件和主题,也就是所谓的破解版主题或插件,有时很多博主站长都会被诱惑去使用那些破解的插件和主题。从不可靠的来源下载 WordPress 主题和插件是非常危险的,它们不仅会危及您网站的安全性,还可能会用于窃取敏感信息。您应该始终从可靠的来源下载 WordPress 插件和主题,例如插件/主题开发人员网站或官方 WordPress 存储库。如果您买不起或不想购买高级插件或主题,那么这些产品总是有免费的替代品。这些免费的主题或插件可能不如付费产品,但他们将完成工作,最重要的是保持您的网站安全。

10、不保护 WordPress配置 wp-config.php文件

WordPress 配置文件 wp-config.php 包含您的 WordPress 数据库登录凭据,如果它被泄露,那么黑客就能完全访问您网站的信息。其实,您可以通过使用.htaccess 拒绝访问 wp-config 文件来添加额外的保护层。只需将以下代码添加到.htaccess 文件即可。

  1. <files wp-config.php>
  2. order allow,deny
  3. deny from all
  4. </files>

11、不更改 WordPress表前缀

许多专家建议您更改默认的 WordPress 表前缀。默认情况下,WordPress 使用 wp_ 作为它在数据库中创建的表的前缀,您可以选择在安装期间更改它,并且建议您使用更复杂的前缀,这将使黑客更难猜测您的数据库表名称。如果按照期间已经选择了默认的数据库表前缀 WP_,那么你可以参阅《两种方法修改 WordPress 站点数据库默认表前缀 wp_》这篇文章来修改表前缀。

历史上的今天:

文章标签: ,   ,  
原文地址:https://www.wpbeginner.com/beginners-guide/reasons-why-wordpress-site-gets-hacked/
温馨提示:文章内容仅代表作者个人观点,不代表boke112导航赞同其观点和对其真实性负责!
版权声明:本文为转载文章,来源于 WPBeginner ,版权归原作者所有,欢迎分享本文,转载请保留出处!
转载砖家

相关文章 分类热门分类热评最新问答

 发表评论

中国赞表情摊手表情吃瓜表情笑哭表情偷笑表情衰表情汗表情思考表情费解表情抓狂表情晕表情流泪表情疑问表情嘻嘻表情吃惊表情鼓掌表情

  1. WP建站
    WP建站 @回复

    网站经常被人恶意访问,超耗资源,。导致CDN都被预警关闭了。。

  2. wordpress建站吧
    wordpress建站吧 @回复

    hahah,没有价值的不会有人来黑的

  3. 灵异世界网
    灵异世界网 @回复

    2014年那个时候用wp做过一个站,被黑过一次。

  4. WoAiWu
    WoAiWu @回复

    努力学习中不错

  5. 软件库
    软件库 @回复

    努力学习中!!!

  6. Action
    Action @回复

    所以说关键节点,做好备份还是很重要的,就算网站被黑了,也不用重新开始。 [吃瓜]

  7. 优站盒子
    优站盒子 @回复

    站点量多,个人用户较多,不太重视安全

  8. 时间爱人
    时间爱人 @回复

    SFTP / SSH是个细节;
    wp-config.php和权限分步是重点;
    WordPress表前缀、弱密码这个是习惯;
    更新算是属于维护工作。

  9. 爱哈吧
    爱哈吧 @回复

    如果是阿里云ECS用户,平时不维护服务器的时候在阿里云控制台 安全策略中禁用SSH 22和FTP 21端口,用的时候打开这些端口,服务器系统要用新版本,尽量避免低版本,有些站长对服务器系统有误解,认为老版本稳定。还有wordpress要及时升级,不要使用过时的版本,这点非常重要,每天全球有无数软件发起自动扫描和攻击,新版本的wordpress都是修复了大量已知漏洞,有够阻止大部分攻击,有些站长对于wordpress升级机制不了解,不敢升级,这是让网站在危险中运行,还有一些安全插件也有必要安装。

    • 懿古今
      懿古今2018-09-14 17:29  回复

      @爱哈吧是的,WordPress及一些插件主题还是有必要及时升级的,特别是WordPress小版本升级,一般都是针对安全方面的升级

  10. 天赋网
    天赋网 @回复

    怎么办,这么危险

  11. 清风小墨
    清风小墨 @回复

    经常蹭别人家网先用admin admin试路由器密码
    还有用破解版主题也危险

  12. 闲鱼
    闲鱼 @回复

    瑟瑟发抖,愿世界充满爱

  13. 菊座
    菊座 @回复

    还有一个原因就是流量比较大…

  14. Mr.zou
    Mr.zou @回复

    学习了,要加强防范

  15. 99八十一
    99八十一 @回复

    所以隐藏或修改后台很有必要啊。

  16. 里维斯社
    里维斯社 @回复

    最近WordPress网站被攻击的频率高了很多,还是占有率太高了的原因,平时做好防护还是有很大帮助的。

  17. 李学江博客
    李学江博客 @回复

    遭过两次,没技术。没办法解决,只能重装

  18. 手机兼职
    手机兼职 @回复

    我们这种小站,很容易被黑

  19. 靠谱学生兼职网
    靠谱学生兼职网 @回复

    我之前可能受过免费破解主题的罪,老有广告弹出,现在用ZB了,官网后台下的,就博主的作的主题了

  20. 区块链
    区块链 @回复

    我好像感觉没怎么被入侵啊。就是一堆乱七八糟的扫描是否存在后门入口的记录

  21. 小兽wordpress
    小兽wordpress @回复

    我看到的一般被黑的原因就是密码太简单了。
    花点心思弄个复杂的用户名和密码。
    主机弄个阿里云,腾讯云等靠谱的主机服务商。

  22. 个人博客
    个人博客 @回复

    最常见的原因就是在群里到处吹牛多了,有人看你不顺眼就想搞你!

  23. 明月登楼
    明月登楼 @回复

    总结下来,都是自己“招蜂引蝶”造成的!