WordPress网站经常被黑客攻击的11个主要原因

最近，我们的一位读者问我们为什么 WordPress 网站经常被黑客入侵？在本文中，我们将分享 WordPress 网站经常被黑客攻击的 11 个主要原因，以便您可以避免这些错误并保护您的网站。

WordPress网站经常被黑客攻击的11个主要原因-第1张-boke112百科(boke112.com)

为什么 WordPress站点经常被黑客攻击？

首先，它不仅仅是WordPress 站点，互联网上所有网站都容易遭受黑客攻击。而 WordPress 网站成为攻击的目标主要原因是因为 WordPress 是世界上最受欢迎的网站建设者，它支持超过 31％的网站，这意味着全球数亿个网站。WordPress 极大的受欢迎程度使黑客能够轻松找到不太安全的网站，因此他们可以利用它。

黑客有不同的动机来破解网站，有些是初学者，他们只是在学习利用安全性较低的网站。有些黑客有恶意的意图，如分发恶意软件，使用网站攻击其他网站，或转发垃圾邮件等等。话虽如此，让我们来看看 WordPress 网站被黑客入侵的一些主要原因，以及如何防止您的网站被黑客入侵。

1、使用不安全的虚拟主机

与所有网站一样，WordPress 网站托管在 Web 服务器上。一些托管公司没有妥善保护其托管平台，这使得在其服务器上托管的所有网站都容易受到黑客攻击。通过为您的网站选择最好的 WordPress 托管服务提供商，可以轻松避免这种情况。它确保您的网站托管在安全的平台上，适当安全的服务器可以阻止许多对 WordPress 站点的最常见攻击。

2、使用弱密码

WordPress网站经常被黑客攻击的11个主要原因-第2张-boke112百科(boke112.com)

密码是 WordPress 网站的关键，您需要确保为以下每个帐户使用强大的唯一密码，因为它们都可以为黑客提供对您网站的完全访问权限。

WordPress 管理员帐户
Web 主机控制面板帐户
FTP 帐户
用于 WordPress 站点的 MySQL 数据库
用于 WordPress 管理员或托管帐户的电子邮件帐户

所有这些帐户都应该受密码保护，使用弱密码可以让黑客更容易使用一些基本的黑客工具破解密码。您可以通过为每个帐户使用唯一且强大的密码来轻松避免这种情况。

3、不受保护的 WordPress管理员访问权限（wp-admin目录）

WordPress 管理区域为用户提供了在 WordPress 网站上执行不同操作的权限，它也是 WordPress 站点中最常被攻击的区域。让它不受保护允许黑客尝试不同的方法来破解您的网站。您可以通过向 WordPress 管理目录添加身份验证层来使它们变得困难。

首先，您应密码保护您的 WordPress 管理区域，这会增加额外的安全层，任何试图访问 WordPress 管理员的人都必须提供额外的密码。如果您运行多作者或多用户 WordPress 站点，则可以为站点上的所有用户强制使用强密码。您还可以添加双因素身份验证，以使黑客更难进入您的 WordPress 管理区域。

4、文件权限不正确

WordPress网站经常被黑客攻击的11个主要原因-第3张-boke112百科(boke112.com)

文件权限是 Web 服务器使用的一组规则，这些权限可以帮助您的 Web 服务器控制对您网站上文件的访问。不正确的文件权限可以让黑客有权编写和更改这些文件。所有的 WordPress 文件都应具有 644 值作为文件权限。WordPress 网站上的所有文件夹都应具有755作为其文件权限。

5、不更新 WordPress

一些 WordPress 用户害怕更新他们的 WordPress 网站，他们担心这样做会破坏他们的网站。其实，WordPress 的每个新版本都修复了一些错误和安全漏洞，如果您没有及时更新 WordPress，那么您故意让您的网站容易受到攻击。如果您担心 WordPress 更新会破坏您的网站，那么您可以在运行更新之前创建完整的WordPress 备份。这样，如果某些东西不起作用，那么您可以轻松恢复到以前的版本。

6、不更新插件或主题

就像核心 WordPress 软件一样，更新主题和插件同样重要。使用过时的插件或主题可能会使您的网站容易受到攻击。通常在WordPress 插件和主题中发现安全漏洞和错误时，主题和插件作者都会快速修复它们。但是，如果用户没有及时更新他们的主题或插件，那么他们也就无能为力了。所以请确保您的 WordPress 主题和插件保持最新。

7、使用 Plain FTP而不是 SFTP / SSH

WordPress网站经常被黑客攻击的11个主要原因-第4张-boke112百科(boke112.com)

FTP 帐户用于使用FTP 客户端将文件上载到 Web 服务器，大多数托管提供商使用不同协议支持 FTP 连接。您可以使用普通 FTP、SFTP 或SSH进行连接。当您使用普通 FTP 连接到您的站点时，您的密码将以未加密的方式发送到服务器，这样很容易被窥探并轻易被盗取。您应该始终使用 SFTP 或 SSH，而不是使用 FTP。

其实，您无需更改 FTP 客户端，因为大多数 FTP 客户端都可以通过 SFTP 和 SSH 连接到您的网站。您只需在连接到您的网站时将协议更改为“SFTP – SSH”即可。

8、使用 Admin作为 WordPress用户名

建议不要使用“admin”作为 WordPress 用户名，如果您的管理员用户名是 admin，则应立即将其更改为其他用户名。如果不懂更改 WordPress 用户名请参阅《三种方法修改 WordPress 默认用户名 admin》。

9、无效的主题和插件

WordPress网站经常被黑客攻击的11个主要原因-第5张-boke112百科(boke112.com)

互联网上有许多网站免费分发付费的 WordPress 插件和主题，也就是所谓的破解版主题或插件，有时很多博主站长都会被诱惑去使用那些破解的插件和主题。从不可靠的来源下载 WordPress 主题和插件是非常危险的，它们不仅会危及您网站的安全性，还可能会用于窃取敏感信息。您应该始终从可靠的来源下载 WordPress 插件和主题，例如插件/主题开发人员网站或官方 WordPress 存储库。如果您买不起或不想购买高级插件或主题，那么这些产品总是有免费的替代品。这些免费的主题或插件可能不如付费产品，但他们将完成工作，最重要的是保持您的网站安全。

10、不保护 WordPress配置 wp-config.php文件

WordPress 配置文件 wp-config.php 包含您的 WordPress 数据库登录凭据，如果它被泄露，那么黑客就能完全访问您网站的信息。其实，您可以通过使用.htaccess 拒绝访问 wp-config 文件来添加额外的保护层。只需将以下代码添加到.htaccess 文件即可。

<files wp-config.php>
order allow,deny
deny from all
</files>

11、不更改 WordPress表前缀

许多专家建议您更改默认的 WordPress 表前缀。默认情况下，WordPress 使用 wp_ 作为它在数据库中创建的表的前缀，您可以选择在安装期间更改它，并且建议您使用更复杂的前缀，这将使黑客更难猜测您的数据库表名称。如果按照期间已经选择了默认的数据库表前缀 WP_，那么你可以参阅《两种方法修改 WordPress 站点数据库默认表前缀 wp_》这篇文章来修改表前缀。