如果你正在运行一个使用WordPress的网站,那么你被黑客攻击的风险就更大了。WordPress为世界上约27%的网站提供动力,并拥有世界上约59%的内容管理系统(CMS)市场份额。bluehost美国主机商分享WordPress网站被入侵的3个原因和安全提示
WordPress并非只被博客或没有经验的网站管理员使用。下面这些大公司都使用WordPress为其网站提供动力:
- 彭博社
- BBC美国
- MTV新闻
- 迪斯尼
- 综艺节目
- 索尼音乐
根据互联网网站安全公司Sucuri的数据,WordPress在2017年记录的CMS感染中占83%,比2016年的74%有所增加。为什么WordPress网站在黑客中如此受欢迎?首先,该平台以有大量漏洞而闻名,主要源于其开源编程。
其次,WordPress在市场上有如此大的份额,这使得黑客针对该平台更有利可图。超过7500万个网站使用WordPress,使它成为黑客攻击的成熟场所。推荐阅读:《WordPress网站如何被黑客入侵以及如何防止入侵》
不幸的是,WordPress如此受黑客欢迎的原因大部分是因为它的用户。WordPress用户在创建网站时犯了很多错误,而这些错误导致网站被黑。下面是WordPress网站管理员被黑的前三个原因,以及你可以用来保护你的网站所做的事情。
失败#1:你选择了一个不合格的主机供应商
一分钱一分货,许多 “廉价 “的网站主机也在许多功能上吝啬,而这些功能对于充分保护你的网站是必不可少的。黑客知道这一点,他们的目标是不合格的网站主机和在上面托管的网站。
不合格的网站托管商通常表现出以下特征:
- 每周只提供一次备份,或根本不提供备份
- 不支持最新的MySQL或PHP版本
- 不对恶意软件进行扫描
- 不提供防火墙或DDoS保护
- 不提供目录保护
- 有99.9%或更低的正常运行时间保证(最好的供应商应该是99.99%或更高)。
如果一个网站主机在某个方面不达标,或者在至少一个服务计划上提供低劣的功能,那么就认为整个主机不达标。即使黑客不能直接入侵你的网站,他们仍然可能对你的网络服务器造成破坏,最终影响你的性能。在此阅读更多关于最佳网站托管服务的信息。
失败#2:你安装了有问题的主题或插件
根据WP模板,大约29%的黑客是通过不安全的主题,22%是通过有漏洞的插件。模板或插件可能已经过时,或由没有安全意识的人编程。黑客会利用他们能找到的任何漏洞,试图入侵你的网站。推荐相关阅读:《如何强化您的美国主机网站以防止黑客入侵》
例如,在2015年,WP Slimstat 3.9.5应用程序中发现了一个重大漏洞,使超过100万个网站容易被黑客攻击。该漏洞允许网络攻击者破解该插件的秘钥,并进行SQL注入,使黑客能够接管网站。
早在2012年,在流行的照片应用程序TimThumb中发现了另一个重大漏洞。外部图片调整 “功能中的一个漏洞允许黑客将PHP代码注入到网络服务器。该应用程序的开发者甚至承认,由于这个有问题的应用程序,他已经成为黑客攻击的受害者,并最终放弃了开发。
如果这些漏洞利用的例子还不至于令人震惊,那么请注意,你还必须对付由黑客和恶意软件网站传播的主题和插件。由于WordPress是开源的,任何人都可以为WordPress创建和发布软件。它们通常被当作有用的应用程序,在许多情况下,它们提供了所承诺的功能。这些程序还包括额外的代码,使黑客可以渗透到你的网站,或者利用它来传播恶意软件,将用户重定向到网站,等等。
失败#3:作为管理员,你是个懒人
WordPress网站被黑的另一个常见原因是,网站管理员推卸责任,未能尽可能地保持网站的安全。这涉及到以下的一些甚至全部:
- 没有使用强密码
- 未能保护wp-admin目录
- 未能定期更新WordPress
- 没有定期更新主题或插件
- 给予用户账户不正确的文件权限
- 在SFTP或SSH上使用标准的FTP
前四个是管理员最常见的不足之处。他们使用一个弱的密码,或者没有定期更新WordPress、其主题或插件。定期更新可以确保你得到最新的版本,这通常包括安全更新。
不太常见——但仍有问题——是文件权限和不安全的FTP使用。如果文件或目录的权限设置不正确,那么黑客就可能获得对你网站的读写权限。另外,如果你在SFTP或SSH上使用标准的FTP,你就会自找被黑,因为标准的FTP会向你的网站服务器发送未加密的密码。如果黑客嗅到了网站,那么他们就可以窃取你的密码。
避免大多数WordPress黑客攻击的基本指南
如果你想避免你的WordPress网站被黑,你可以采取几个步骤来保护自己。大多数是简单的步骤,但它们需要你持续的行动。
最佳做法#1:选择优质的主机
这不仅仅是一个老生常谈。太多的网站主机为了赚取快钱而提供不合格的功能,而让你基本上没有得到保护。寻找一个能提供每日备份、防病毒和恶意软件保护、最新的PHP和MySQL版本、防DDoS保护和安全目录作为所有计划的标准功能的供应商。
另外,考虑选择一个已经被称为为WordPress优化的主机。这并不意味着它提供自动安装程序或它与WordPress兼容。这意味着他们提供WordPress的定制以及工具和支持人员,他们在帮助你建立和保护你的网站方面知识丰富。
最佳实践#2:小心你安装的插件和主题
首先,你要尽可能少地安装和运行WordPress插件,以减少对你的网站的潜在风险。在你的WordPress后台消除或禁用任何你的网站不需要的插件。
接下来,只安装来自可信来源的插件和主题。就像你不会自动下载一个程序或打开一个来自未知方的电子邮件附件一样,你应该远离来自不知名来源的插件和主题。
WordPress.org是安全插件的终极目录。在其插件部分列出的所有插件通常都经过彻底的测试,被认为是安全的。选择插件是另一个插件的来源,它作为一个可用的WordPress插件的数据库。它还提供了可以帮助你确定一个插件是否安全的信息,包括最新的更新,评级,总下载量,活跃的安装,等等。
另外,在安装插件和主题之前,你有很多方法可以测试它们。将Plugin Check和Theme Check安装到你的网站上,定期扫描不良主题和插件。Sucuri提供了一个有已知漏洞的插件数据库,在安装一个可疑的插件之前,你应该考虑检查。
在安装插件或主题时,在下载之前有一些事情需要注意。如果你发现一个插件有以下情况,请寻找一个不同的插件。
- 有问题的历史,安全或其他方面
- 与当前的WordPress版本不兼容
- 不经常更新,或者已经很久没有更新了
- 有很大比例的差评
- 缺少支持或文档
- 有报告称主机禁止使用该插件
最佳实践#3:认真对待你的管理职责
如果你不愿意认真对待你的管理职责,那么为什么要费心去建立一个网站?雇佣别人来做这个工作就好了。如果你想保持你的网站安全,你需要做以下所有的事情:
- 使用强大的密码并定期更换。不要用它们做其他事情。
- 定期更新你的WordPress、主题和插件到最新版本。
- 保护你的WordPress目录,对所有文件和目录启用正确的权限。
- 永远不要使用标准的FTP来上传文件。
- 隐藏你的登录页面和WordPress版本号,并禁用插件和主题编辑器。
另外,作为一个额外的步骤,禁用你的网站的PHP报告。主题和插件在错误中给出的信息可以被利用。通过禁用报告,你可以进一步锁定你的网站,防止潜在的威胁。
这些都不是一次性的步骤。它们是你应该每年多次执行的常规职责,如果不是至少每月一次的话。
可能发生的最坏情况是什么?你不会想知道的!
你们中的一些人可能在想,被黑客攻击没什么大不了的,或者你的网站没有重要到会被黑客攻击。我在2010年时也是这么想的。不幸的是,那一年我发现,当你的WordPress网站被黑客攻击时,会发生什么事情。
我的网站被黑了,被用来传播恶意软件。我的供应商对传播恶意软件的网站有严格的政策,所以我的网站被下线了。我的所有文件都被删除了,我的备份也从系统中清除了。我在网站上所做的近四年的工作在几个小时内就消失了。
当你不能保证你的网站安全时,你有可能失去你的网站和你的声誉。就个人而言,我失去了一个大客户,但这是一个宝贵的教训。现在花时间保护你的网站免受黑客攻击,你将保护你的网站数据以及你辛苦得来的声誉。推荐相关阅读:《保护WordPress网站的9种快速方法》