WordPress约占所有网站的25%-30%,数量之庞大使WordPress网站更容易受到各种常见的黑客攻击。
首先,你为什么要关心和为什么有人想特别攻击你的网站(即使它可能是一个相对较小的网站)?
为了回答这个问题,让我们来看看Wordfence团队在研究黑客攻击WordPress网站所做的事情时发现:
事实证明,黑客攻击WordPress网站,约55%的比例是为了使用该网站服务器发送垃圾邮件,黑帽SEO或执行恶意重定向。
且还有另外一个共同点,小型的WordPress网站更加容易被拿下(因为防御措施做得不够)。
例如,如果一个黑客设法在WordPress中找到某个洞并占用超过10,000个小站点,这就为他们提供了一个庞大的黑帽SEO网络。
这意味着每个WordPress网站都有风险,无论你的WordPress网站的大小。
最常见的WordPress黑客攻击
WPTemplate.com另一项研究发现,最常见的WordPress黑客攻击和入侵点是:
- 服务器漏洞 – 占41%,
- 主题 – 29%,
- 插件 – 22%,
- 弱密码 – 8%。
以下是如何避免它们:
1. 服务器漏洞
如果您的网络托管服务器有不安全的记录并且容易出现常见的WordPress黑客攻击,那么除了使用更安全的替代方案之外,你别无选择。
如果你考虑做一个面向国外访客的WordPress网站,以下服务器供应商是个不错的选择:
- WPEngine
- Kinsta
- SiteGround
2. 不安全的主题
保护自己免受任何与主题相关的漏洞的最佳方法是,不要随便下载破解的WordPress主题,尽可能选择信得过的WordPress主题开发商,又或者通过WordPress主题市场下载。
3. 插件漏洞
如上所述,插件漏洞是WordPress黑客攻击的第三大常见罪魁祸首。
但问题实际上更复杂,因为由于插件漏洞可以执行更多的单独攻击。
例如,您可能成为以下内容的受害者:包含攻击文件,SQL注入,跨站点脚本(XSS),后门攻击等等。
不幸的是,这里没有一种适合所有类型的解决方案,这是因为每个人同时运行大量的插件,而不像主题,你只有一个。
避免这种攻击的最好方法是阅读像Sucuri这样的博客,即使只是标题而不是实际的帖子。 Sucuri是一家以WordPress安全领域着称的公司,他们在发现插件和常见WordPress黑客攻击中的新漏洞方面做得非常出色。
简而言之,如果有一天他们警告您在您的网站上运行的插件存在问题,请将其停用并等待版本更新。
4. 密码相关问题
接下来,是与密码相关的各种问题。
但是,这些不仅仅是因为弱密码,而且还涉及其他破坏安全密码的漏洞。
a) 弱密码
明智的做法是每当设置新用户帐户时,只使用安全和复杂的密码。 否则,密码暴力破解只需要几秒钟即可获得你的账号权限。
您还可以依据Force Strong Passwords插件建议来设定密码。
其实上只要你使用不含任何常见单词及你的账号名称的混合大小写字母、数字及符号的不少于8位的字符串充当你的密码,一般是安全的,比如2Aql&x91*M1x。
b) 登陆页面攻击
默认的WordPress登录页面是众所周知的……通常是YOURSITE.com/wp-login.php
因此,各种机器人直接进入该页面并尝试用暴力或其他方法破解密码。
以下是您可以做的事情:
- 使用Login LockDown插件限制登录尝试。
- 使用 Duo Two-Factor Authentication 插件启用二步验证. (账号密码+短信的方式)
- 通过Jetpack的安全功能模块启用强力保护功能。 (自3.4.1版本以来,由于Jetpack收购了优秀的BruteProtect插件,增加增强保护功能。)
5. 本地电脑
很简单,如果您用来访问您网站的计算机不安全,那么上述所有策略都显得苍白无力。
基本上,无论何时您访问网站的wp-admin工作,若你的电脑本身存在安全漏洞,那么你通过wp-admin操作都暴露给别有用心的“病毒”。因此,你必须保证你的电脑更新到最新版本的系统及最好给电脑安装一款杀毒软件。
如果您对常见的WordPress黑客攻击有任何疑问和建议,留言与大家一起分享!