最近,我们的一位读者问我们为什么 WordPress 网站会被黑客入侵?发现您的 WordPress 网站已被黑客入侵令人沮丧。在本文中,我们将分享 WordPress 网站被黑的主要原因,这样您就可以避免这些错误并保护您的网站。
为什么 WordPress 会成为黑客的目标?
首先,它不仅仅是 WordPress。互联网上的所有网站都容易受到黑客攻击。
WordPress 网站成为常见目标的原因是因为 WordPress 是世界上最受欢迎的网站构建器。它为超过 31% 的网站提供支持,这意味着全球有数亿个网站。
这种巨大的流行度为黑客提供了一种简单的方法来查找不太安全的网站,以便他们可以利用它。
黑客入侵网站的动机不同。有些是刚刚学习利用不太安全的网站的初学者。
一些黑客具有恶意意图,例如分发恶意软件、使用网站攻击其他网站或向互联网发送垃圾邮件。
话虽如此,让我们来看看 WordPress 网站被黑客入侵的一些主要原因,以及如何防止您的网站被黑客入侵。
1. 不安全的虚拟主机
与所有网站一样,WordPress 网站托管在 Web 服务器上。一些托管公司没有正确保护他们的托管平台。这使得托管在其服务器上的所有网站都容易受到黑客攻击。
通过为您的网站选择最佳的 WordPress 托管服务提供商,可以轻松避免这种情况。它确保您的网站托管在安全的平台上。适当保护的服务器可以阻止对 WordPress 网站的许多最常见的攻击。
如果您想采取额外的预防措施,那么我们建议您使用托管的 WordPress 托管服务提供商。
2.使用弱密码
密码是您的 WordPress 网站的密钥。您需要确保为以下每个帐户都使用了唯一的强密码,因为它们都可以为黑客提供对您网站的完全访问权限。
您的 WordPress 管理员帐户
虚拟主机控制面板帐户
FTP 帐户
用于您的 WordPress 网站的 MySQL 数据库
用于 WordPress 管理员或托管帐户的电子邮件帐户
所有这些帐户都受密码保护。使用弱密码使黑客更容易使用一些基本的黑客工具破解密码。
您可以通过为每个帐户使用唯一且强密码来轻松避免这种情况。请参阅我们的指南,了解为 WordPress 初学者管理密码的最佳方法,以了解如何管理所有这些强密码。
3. 不受保护地访问 WordPress 管理员(wp-admin 目录)
WordPress 管理区域允许用户访问在您的 WordPress 站点上执行不同的操作。它也是 WordPress 网站最常受到攻击的区域。
让它不受保护允许黑客尝试不同的方法来破解您的网站。您可以通过向您的 WordPress 管理目录添加认证层来使它们变得困难。
首先,您应该使用密码保护您的 WordPress 管理区域。这增加了一个额外的安全层,任何试图访问 WordPress 管理员的人都必须提供额外的密码。
如果您运行多作者或多用户 WordPress 站点,则可以为站点上的所有用户强制使用强密码。您还可以添加两因素身份验证,以使黑客更难进入您的 WordPress 管理区域。
4. 文件权限不正确
文件权限是您的 Web 服务器使用的一组规则。这些权限可帮助您的 Web 服务器控制对您网站上文件的访问。不正确的文件权限可以让黑客访问写入和更改这些文件。
您所有的 WordPress 文件都应具有 644 值作为文件权限。您的 WordPress 网站上的所有文件夹都应具有 755 作为其文件权限。
请参阅我们关于如何修复 WordPress 中的图像上传问题的指南,以了解如何应用这些文件权限。
5. 不更新 WordPress
一些 WordPress 用户害怕更新他们的 WordPress 网站。他们担心这样做会破坏他们的网站。
每个新版本的 WordPress 都会修复错误和安全漏洞。如果您不更新 WordPress,那么您就是故意让您的网站容易受到攻击。
如果您担心更新会破坏您的网站,那么您可以在运行更新之前创建一个完整的 WordPress 备份。这样,如果某些东西不起作用,那么您可以轻松恢复到以前的版本。
6.不更新插件或主题
就像核心 WordPress 软件一样,更新您的主题和插件同样重要。使用过时的插件或主题会使您的网站容易受到攻击。
安全漏洞和错误经常在 WordPress 插件和主题中被发现。通常,主题和插件作者会快速修复它们。但是,如果用户不更新他们的主题或插件,那么他们将无能为力。
确保您的 WordPress 主题和插件保持最新。
7. 使用普通 FTP 而不是 SFTP/SSH
FTP 帐户用于使用FTP 客户端将文件上传到您的 Web 服务器。大多数托管服务提供商都支持使用不同协议的 FTP 连接。您可以使用普通 FTP、SFTP 或 SSH 进行连接。
当您使用普通 FTP 连接到您的站点时,您的密码会以未加密的方式发送到服务器。它可以被监视并很容易被盗。您应该始终使用 SFTP 或 SSH,而不是使用 FTP。
您无需更改 FTP 客户端。大多数 FTP 客户端可以通过 SFTP 和 SSH 连接到您的网站。连接到您的网站时,您只需将协议更改为“SFTP – SSH”。
8. 使用管理员作为 WordPress 用户名
不建议使用“admin”作为您的 WordPress 用户名。如果您的管理员用户名是 admin,那么您应该立即将其更改为不同的用户名。
有关详细说明,请查看我们关于如何更改 WordPress 用户名的教程。
9. 无效的主题和插件
互联网上有许多免费分发付费 WordPress 插件和主题的网站。有时很容易想在您的网站上使用那些无效的插件和主题。
从不可靠的来源下载 WordPress 主题和插件是非常危险的。它们不仅会危害您网站的安全性,而且还可以用来窃取敏感信息。
您应该始终从可靠来源下载 WordPress 插件和主题,例如插件/主题开发者网站或官方 WordPress 存储库。
如果您买不起或不想购买高级插件或主题,那么这些产品总是有免费的替代品。这些免费插件可能不如付费插件好,但它们可以完成工作,最重要的是保证您的网站安全。
您还可以在我们网站的交易部分找到许多流行 WordPress 产品的折扣。
10. 不保护 WordPress 配置 wp-config.php 文件
WordPress 配置文件wp-config.php包含您的 WordPress 数据库登录凭据。如果它被入侵,那么它将泄露可能使黑客完全访问您的网站的信息。
您可以通过使用.htaccess拒绝访问 wp-config 文件来添加额外的保护层。只需将这个小代码添加到您的 .htaccess 文件中。
11. 不改变 WordPress 表格前缀
许多专家建议您应该更改默认的 WordPress 表前缀。默认情况下,WordPress 使用wp_作为它在数据库中创建的表的前缀。您可以在安装过程中选择更改它。
建议您使用稍微复杂一点的前缀。这将使黑客更难猜测您的数据库表名。
有关详细说明,请参阅我们的指南,了解如何更改 WordPress 数据库前缀以提高安全性。
清理被黑的 WordPress 网站
清理被黑的 WordPress 网站真的很痛苦。但是,这是可以做到的。
这里有一些资源可以帮助您开始清理被黑的 WordPress 网站:
修复被黑 WordPress 网站的初学者指南
如何扫描您的 WordPress 网站以查找潜在的恶意代码
如何在被黑的 WordPress 网站中找到后门并修复它
当您被 WordPress 管理员(wp-admin)锁定时该怎么办
初学者指南:如何从备份中恢复 WordPress
奖金提示
为了坚如磐石的安全性,我们在所有 WordPress 网站上都使用Sucuri 。Sucuri提供恶意软件检测和清除服务以及网站防火墙,可保护您的网站免受最常见的威胁。
了解Sucuri 如何帮助我们在 3 个月内阻止 450,000 次 WordPress 攻击
我们希望本文能帮助您了解 WordPress 网站被黑的主要原因。您可能还想查看我们的终极 WordPress 安全指南,以保护您的 WordPress 网站。