WordPress网站被黑的11个主要原因(以及如何预防)

最近,我们的一位读者问我们为什么 WordPress 网站会被黑客入侵?当您发现您的 WordPress 网站已被黑客入侵时,这令人很沮丧。在本文中,我们将分享 WordPress 网站被黑客入侵的主要原因,以便您避免这些错误并保护您的网站。

为什么 WordPress 是黑客的目标?

首先,它不仅仅是 WordPress。互联网上的所有网站都容易受到黑客攻击。推荐阅读:《2022年的WordPress网站安全问题》

WordPress 网站之所以成为常见目标,是因为 WordPress 是世界上最受欢迎的网站建设者。它为超过 31% 的网站提供支持,这意味着全球有数亿个网站。

这种巨大的流行使黑客可以轻松找到安全性较低的网站,以便他们可以利用它。

WordPress网站被黑的11个主要原因(以及如何预防)

黑客入侵网站的动机各不相同。有些是刚开始学习利用安全性较低的站点的初学者。

一些黑客有恶意,例如分发恶意软件、使用网站攻击其他网站或向互联网发送垃圾邮件。

话虽如此,让我们来看看 WordPress 网站被黑的一些主要原因,以及如何防止您的网站被黑。

  1. 不安全的虚拟主机

与所有网站一样,WordPress 网站托管在网络服务器上。一些托管公司没有正确保护他们的托管平台。这使得托管在其服务器上的所有网站都容易受到黑客攻击。

通过为您的网站选择最好的 WordPress 托管服务提供商,可以轻松避免这种情况。它确保您的网站托管在安全的平台上。适当安全的服务器可以阻止对 WordPress 网站的许多最常见的攻击。

如果您想采取额外的预防措施,那么我们建议您使用托管的 WordPress 托管服务提供商。

  1. 使用弱密码

密码是您的 WordPress 网站的关键。您需要确保为以下每个帐户使用唯一的强密码,因为它们都可以让黑客完全访问您的网站。

您的 WordPress 管理员帐户

虚拟主机控制面板帐户

FTP 帐户

用于您的 WordPress 站点的 MySQL 数据库

用于 WordPress 管理员或托管帐户的电子邮件帐户

所有这些帐户都受密码保护。使用弱密码可以让黑客更容易使用一些基本的黑客工具破解密码。

您可以通过为每个帐户使用唯一且强密码来轻松避免这种情况。请参阅我们的指南,了解 WordPress 初学者管理密码的最佳方法,以了解如何管理所有这些强密码。

  1. 对 WordPress 管理员的无保护访问(wp-admin 目录)

WordPress 管理区域允许用户访问以在您的 WordPress 站点上执行不同的操作。它也是 WordPress 网站最常受到攻击的区域。

让它不受保护允许黑客尝试不同的方法来破解您的网站。您可以通过向 WordPress 管理目录添加身份验证层来让他们感到困难。

首先,您应该使用密码保护您的 WordPress 管理区域。这增加了一个额外的安全层,任何试图访问 WordPress 管理员的人都必须提供额外的密码。

如果您运行一个多作者或多用户 WordPress 网站,那么您可以为您网站上的所有用户强制使用强密码。您还可以添加两因素身份验证,使黑客更难进入您的 WordPress 管理区域。

  1. 文件权限不正确

文件权限是 Web 服务器使用的一组规则。这些权限可帮助您的 Web 服务器控制对您站点上文件的访问。不正确的文件权限可以让黑客访问写入和更改这些文件。

您所有的 WordPress 文件都应该有 644 值作为文件权限。您的 WordPress 站点上的所有文件夹都应具有 755 作为其文件权限。

请参阅我们关于如何修复 WordPress 中的图像上传问题的指南,以了解如何应用这些文件权限。

  1. 不更新WordPress

一些 WordPress 用户害怕更新他们的 WordPress 网站。他们担心这样做会破坏他们的网站。

每个新版本的 WordPress 都会修复错误和安全漏洞。如果您没有更新 WordPress,那么您就是故意让您的网站容易受到攻击。

如果您担心更新会破坏您的网站,那么您可以在运行更新之前创建一个完整的 WordPress 备份。这样,如果某些东西不起作用,那么您可以轻松地恢复到以前的版本。

  1. 不更新插件或主题

就像核心 WordPress 软件一样,更新主题和插件同样重要。使用过时的插件或主题会使您的网站容易受到攻击。

安全漏洞和错误经常在 WordPress 插件和主题中发现。通常,主题和插件作者会很快修复它们。但是,如果用户不更新他们的主题或插件,那么他们将无能为力。

确保您的 WordPress 主题和插件保持最新。

  1. 使用普通 FTP 而不是 SFTP/SSH

FTP 帐户用于使用FTP 客户端将文件上传到您的 Web 服务器。大多数托管服务提供商支持使用不同协议的 FTP 连接。您可以使用普通 FTPSFTP SSH 进行连接。

当您使用普通 FTP 连接到您的站点时,您的密码会以未加密的方式发送到服务器。它可以被监视并很容易被盗。您应该始终使用 SFTP SSH,而不是使用 FTP

您无需更改 FTP 客户端。大多数 FTP 客户端可以通过 SFTP SSH 连接到您的网站。您只需在连接到您的网站时将协议更改为“SFTP SSH”。推荐阅读:《2022如何为WordPress网站选择合适的主题》

  1. 使用 Admin 作为 WordPress 用户名

不建议使用“admin”作为您的 WordPress 用户名。如果您的管理员用户名是 admin,那么您应该立即将其更改为其他用户名。

  1. 取消主题和插件

互联网上有许多网站免费分发付费 WordPress 插件和主题。有时很容易被诱惑在您的网站上使用那些无效的插件和主题。

从不可靠的来源下载 WordPress 主题和插件是非常危险的。它们不仅会危及您网站的安全性,而且还可用于窃取敏感信息。

您应该始终从可靠的来源下载 WordPress 插件和主题,例如插件/主题开发者网站或官方 WordPress 存储库。

如果您买不起或不想购买高级插件或主题,那么这些产品总是有免费的替代品。这些免费插件可能不如付费插件好,但它们可以完成工作,最重要的是确保您的网站安全。

您还可以在我们网站的交易部分找到许多流行的 WordPress 产品的折扣。

  1. 不保护 WordPress 配置 wp-config.php 文件

WordPress 配置文件wp-config.php包含您的 WordPress 数据库登录凭据。如果它被入侵,那么它会泄露信息,使黑客可以完全访问您的网站。

您可以通过使用.htaccess拒绝访问 wp-config 文件来添加额外的保护层。只需将这个小代码添加到您的 .htaccess 文件中。

<files wp-config.php>

order allow,deny

deny from all

</files>

  1. 不改变WordPress表前缀

许多专家建议您更改默认的 WordPress 表前缀。默认情况下,WordPress 使用wp_作为它在数据库中创建的表的前缀。您可以选择在安装过程中更改它。

建议您使用稍微复杂一点的前缀。这将使黑客更难猜测您的数据库表名。

我们希望本文能帮助您了解 WordPress 网站被黑的主要原因。推荐相关阅读:《WordPress 6.0:新的版本来了》

Add a Comment

您的电子邮箱地址不会被公开。 必填项已用*标注