最近,我们的一位读者问我们为什么 WordPress 网站会被黑客入侵?当您发现您的 WordPress 网站已被黑客入侵时,这令人很沮丧。在本文中,我们将分享 WordPress 网站被黑客入侵的主要原因,以便您避免这些错误并保护您的网站。
为什么 WordPress 是黑客的目标?
首先,它不仅仅是 WordPress。互联网上的所有网站都容易受到黑客攻击。推荐阅读:《2022年的WordPress网站安全问题》
WordPress 网站之所以成为常见目标,是因为 WordPress 是世界上最受欢迎的网站建设者。它为超过 31% 的网站提供支持,这意味着全球有数亿个网站。
这种巨大的流行使黑客可以轻松找到安全性较低的网站,以便他们可以利用它。
黑客入侵网站的动机各不相同。有些是刚开始学习利用安全性较低的站点的初学者。
一些黑客有恶意,例如分发恶意软件、使用网站攻击其他网站或向互联网发送垃圾邮件。
话虽如此,让我们来看看 WordPress 网站被黑的一些主要原因,以及如何防止您的网站被黑。
- 不安全的虚拟主机
与所有网站一样,WordPress 网站托管在网络服务器上。一些托管公司没有正确保护他们的托管平台。这使得托管在其服务器上的所有网站都容易受到黑客攻击。
通过为您的网站选择最好的 WordPress 托管服务提供商,可以轻松避免这种情况。它确保您的网站托管在安全的平台上。适当安全的服务器可以阻止对 WordPress 网站的许多最常见的攻击。
如果您想采取额外的预防措施,那么我们建议您使用托管的 WordPress 托管服务提供商。
- 使用弱密码
密码是您的 WordPress 网站的关键。您需要确保为以下每个帐户使用唯一的强密码,因为它们都可以让黑客完全访问您的网站。
您的 WordPress 管理员帐户
虚拟主机控制面板帐户
FTP 帐户
用于您的 WordPress 站点的 MySQL 数据库
用于 WordPress 管理员或托管帐户的电子邮件帐户
所有这些帐户都受密码保护。使用弱密码可以让黑客更容易使用一些基本的黑客工具破解密码。
您可以通过为每个帐户使用唯一且强密码来轻松避免这种情况。请参阅我们的指南,了解 WordPress 初学者管理密码的最佳方法,以了解如何管理所有这些强密码。
- 对 WordPress 管理员的无保护访问(wp-admin 目录)
WordPress 管理区域允许用户访问以在您的 WordPress 站点上执行不同的操作。它也是 WordPress 网站最常受到攻击的区域。
让它不受保护允许黑客尝试不同的方法来破解您的网站。您可以通过向 WordPress 管理目录添加身份验证层来让他们感到困难。
首先,您应该使用密码保护您的 WordPress 管理区域。这增加了一个额外的安全层,任何试图访问 WordPress 管理员的人都必须提供额外的密码。
如果您运行一个多作者或多用户 WordPress 网站,那么您可以为您网站上的所有用户强制使用强密码。您还可以添加两因素身份验证,使黑客更难进入您的 WordPress 管理区域。
- 文件权限不正确
文件权限是 Web 服务器使用的一组规则。这些权限可帮助您的 Web 服务器控制对您站点上文件的访问。不正确的文件权限可以让黑客访问写入和更改这些文件。
您所有的 WordPress 文件都应该有 644 值作为文件权限。您的 WordPress 站点上的所有文件夹都应具有 755 作为其文件权限。
请参阅我们关于如何修复 WordPress 中的图像上传问题的指南,以了解如何应用这些文件权限。
- 不更新WordPress
一些 WordPress 用户害怕更新他们的 WordPress 网站。他们担心这样做会破坏他们的网站。
每个新版本的 WordPress 都会修复错误和安全漏洞。如果您没有更新 WordPress,那么您就是故意让您的网站容易受到攻击。
如果您担心更新会破坏您的网站,那么您可以在运行更新之前创建一个完整的 WordPress 备份。这样,如果某些东西不起作用,那么您可以轻松地恢复到以前的版本。
- 不更新插件或主题
就像核心 WordPress 软件一样,更新主题和插件同样重要。使用过时的插件或主题会使您的网站容易受到攻击。
安全漏洞和错误经常在 WordPress 插件和主题中发现。通常,主题和插件作者会很快修复它们。但是,如果用户不更新他们的主题或插件,那么他们将无能为力。
确保您的 WordPress 主题和插件保持最新。
- 使用普通 FTP 而不是 SFTP/SSH
FTP 帐户用于使用FTP 客户端将文件上传到您的 Web 服务器。大多数托管服务提供商支持使用不同协议的 FTP 连接。您可以使用普通 FTP、SFTP 或 SSH 进行连接。
当您使用普通 FTP 连接到您的站点时,您的密码会以未加密的方式发送到服务器。它可以被监视并很容易被盗。您应该始终使用 SFTP 或 SSH,而不是使用 FTP。
您无需更改 FTP 客户端。大多数 FTP 客户端可以通过 SFTP 和 SSH 连接到您的网站。您只需在连接到您的网站时将协议更改为“SFTP – SSH”。推荐阅读:《2022如何为WordPress网站选择合适的主题》
- 使用 Admin 作为 WordPress 用户名
不建议使用“admin”作为您的 WordPress 用户名。如果您的管理员用户名是 admin,那么您应该立即将其更改为其他用户名。
- 取消主题和插件
互联网上有许多网站免费分发付费 WordPress 插件和主题。有时很容易被诱惑在您的网站上使用那些无效的插件和主题。
从不可靠的来源下载 WordPress 主题和插件是非常危险的。它们不仅会危及您网站的安全性,而且还可用于窃取敏感信息。
您应该始终从可靠的来源下载 WordPress 插件和主题,例如插件/主题开发者网站或官方 WordPress 存储库。
如果您买不起或不想购买高级插件或主题,那么这些产品总是有免费的替代品。这些免费插件可能不如付费插件好,但它们可以完成工作,最重要的是确保您的网站安全。
您还可以在我们网站的交易部分找到许多流行的 WordPress 产品的折扣。
- 不保护 WordPress 配置 wp-config.php 文件
WordPress 配置文件wp-config.php包含您的 WordPress 数据库登录凭据。如果它被入侵,那么它会泄露信息,使黑客可以完全访问您的网站。
您可以通过使用.htaccess拒绝访问 wp-config 文件来添加额外的保护层。只需将这个小代码添加到您的 .htaccess 文件中。
<files wp-config.php>
order allow,deny
deny from all
</files>
- 不改变WordPress表前缀
许多专家建议您更改默认的 WordPress 表前缀。默认情况下,WordPress 使用wp_作为它在数据库中创建的表的前缀。您可以选择在安装过程中更改它。
建议您使用稍微复杂一点的前缀。这将使黑客更难猜测您的数据库表名。
我们希望本文能帮助您了解 WordPress 网站被黑的主要原因。推荐相关阅读:《WordPress 6.0:新的版本来了》
