为什么 WordPress 网站被黑客入侵以及如何防止它

已发表: 2019-10-07

最后更新 - 2021 年 7 月 8 日

WordPress 是一种流行的内容管理系统 (CMS) ,用于创建网站或博客。 使 WordPress 如此受欢迎的原因之一是它的简单性——用户无需编码经验即可使用 WordPress 在其网站上轻松创建、修改和管理内容。 这促使许多公司和个人使用 WordPress 来构建他们的网站。

W3techs最近一份报告称,34.5% 的网站使用 WordPress。 这意味着您使用的每三个网站都是使用 WordPress 构建的。 在 CMS 解决方案中,WordPress 的市场份额更高,超过 60% 的网站都运行在 WordPress 上。 Joomla 位居第二,但幅度很大——它被 5-10% 的网站使用。

为什么 WordPress 网站会被黑客入侵?

尽管它们可能并不比互联网上的任何其他网站更容易受到攻击,但 WordPress 网站更容易被黑客入侵,因为它们更常见。 鉴于 WordPress 的广受欢迎,攻击者更有动力尝试并找到利用这些站点中发现的漏洞的方法。

当攻击者确实在 WordPress 中发现漏洞时,他们的目标比 Internet 上几乎任何其他系统都要多得多。 此外,由于 WordPress 吸引了许多没有编码经验的用户,他们不太可能采取必要的措施来保护他们的网站免受攻击者可以利用的漏洞的影响。 WordPress 网站被黑的另一个原因是“运动”和练习。 许多初学者试图寻找安全性较弱的网站来练习他们的黑客技能并找到改进的方法。

WordPress 网站被黑客入侵的 7 种方式以及如何防止它

您需要了解 WordPress 网站被黑客入侵的一些常见原因,并采取相应的预防措施。

弱密码

您的密码充当 WordPress 网站的密钥,这意味着您必须确保它们足够强大以保护它。 研究表明,大约80% 的数据泄露是由于密码薄弱造成的。

如何修复:修复这个漏洞很简单——使用强密码。 您还可以使用第三方密码管理器,例如LastPass

不更改您的 WordPress 用户名

当您打开 WordPress 帐户时,您的用户名是“admin”,每个人都知道这一点。 出于这个原因,这是威胁者在尝试入侵您的网站时将尝试的第一个用户名。 此帐户提供 root 权限,可用于破坏您的网站、访问连接的网络以及窃取、删除或勒索数据。

如何修复:如果您的用户名是 admin,请尽快将其更改为其他用户名。

不安全的网络托管

WordPress 网站与所有其他网站一样托管在服务器上。 选择合适的提供商是保护您网站的关键。 即使您实施了本指南中提到的所有其他提示,如果您的提供商提供的保护薄弱,您的网站仍然可能被黑客入侵。

如何修复:在您的预算范围内选择最好的 WordPress 托管服务提供商,并确保您的网站托管在安全平台上。

学习 WordPress 和 WooCommerce
Kinsta 提供托管 WordPress 托管和学习 WordPress 和 WooCommerce 的绝佳资源。

文件权限不正确

文件权限是您的托管服务器使用的规则,可帮助您的 Web 服务器控制对您网站存储和使用的文件的访问。 授予这些文件不正确的权限可能会允许黑客访问和修改您的文件,这可能会导致您的网站出现各种问题。

如何修复:确保所有 WordPress 文件都设置为 644 的值权限,并且所有文件夹都设置为 755。

针对常见网络威胁的安全性薄弱

即使您拥有最强的密码并使用最安全的主机,您仍然容易受到网络攻击。 例如,SQL 注入是一种常见的攻击,用于用恶意软件感染网站。

如何修复:了解最常见的威胁,以及如何保护您的网站免受这些威胁。 一个好的起点是OWASP(开放 Web 应用程序安全项目)前 10名——详细列出了 10 个最紧迫的漏洞的列表。 OWASP 还提供教育资源,您可以使用这些资源来改进您的网络安全实践。

使用过时的 WordPress 版本

一些 WordPress 用户害怕将他们的网站更新到最新版本的 WordPress,因为这可能会导致他们的网站出错。 但是,避免更新是一个严重的问题,因为其中许多更新都是为了修补安全漏洞而发布的。

如何修复:您应该始终更新到最新版本,以确保获得最新的错误修复和安全补丁。 如果您担心更新可能会弄乱您的网站,那么创建完整的 WordPress 备份始终是一个好习惯,尤其是在版本更新之前。

使用过时的主题或插件

WordPress 主题和插件与其运行的核心软件没有太大区别,保持更新同样重要——过时的版本可能会暴露于漏洞。

如何修复:确保您拥有所有主题和插件的最新版本。

包起来

WordPress网站一直被黑客入侵。 这是事实,需要这样处理。 电子商务网站特别容易受到攻击,因为它们提供的奖励比普通网站多。 处理许多交易的成功电子商务平台通常会存储敏感信息。

如果网站遭到破坏,攻击者可能会窃取信息。 这将使网站处于糟糕的境地,特别是如果该网站正在为与欧盟相关的用户提供服务。 这些信息受《通用数据保护条例》(EU GDPR) 的保护,该条例保护“欧盟和欧洲经济区的所有个人公民”的敏感信息。 不遵守 GDPR 可能会导致财务和声誉损失。

另一个需要牢记的合规实体是支付卡行业数据安全标准 (PCI DSS),它保护信用卡持卡人的敏感信息和财务信息。 PCI 适用于处理、存储、传输和接触信用卡数据的任何商家。 这意味着电子商务平台必须遵守 PCI。 PCI 由主要信用卡公司维护和监管,这些公司通过罚款来强制遵守。