WordPress站點被黑客入侵的11個主要原因(以及如何預防)


最近,我們的一位讀者問我們為什麼WordPress網站會遭到黑客攻擊? 令人沮喪的是發現您的WordPress網站已被黑客入侵。 在本文中,我們將分享WordPress網站遭到黑客入侵的主要原因,因此您可以避免這些錯誤並保護您的網站。

為什麼WordPress網站遭到黑客入侵?

為什麼WordPress會成為黑客的目標?

首先,不僅僅是WordPress。 互聯網上的所有網站都容易受到黑客攻擊。

WordPress網站成為通用目標的原因是因為WordPress是世界上最受歡迎的網站構建器。 它為所有網站中超過31%的網站提供支持,這意味著全球有數億個網站。

這種巨大的流行度使黑客可以輕鬆地找到安全性較低的網站,以便他們可以利用它。

黑客有不同的動機來入侵網站。 有些是初學者,他們只是在學習利用不太安全的網站。

一些黑客具有惡意意圖,例如散佈惡意軟件,使用網站攻擊其他網站或向互聯網發送垃圾郵件。

話雖如此,讓我們看一下WordPress網站被黑客入侵的一些主要原因,以及如何防止您的網站被黑客入侵。

1.不安全的虛擬主機

與所有網站一樣,WordPress網站都託管在Web服務器上。 一些託管公司沒有​​適當地保護其託管平台。 這使得託管在其服務器上的所有網站都容易受到黑客攻擊。

通過為您的網站選擇最佳的WordPress託管提供商,可以輕鬆避免這種情況。 它可以確保您的網站託管在安全的平台上。 適當安全的服務器可以阻止WordPress網站上的許多最常見攻擊。

如果您需要採取額外的預防措施,那麼我們建議您使用託管的WordPress託管提供商。

2.使用弱密碼

使用弱密碼

密碼是您的WordPress網站的密鑰。 您需要確保為以下每個帳戶使用一個唯一的強密碼,因為它們都可以為黑客提供對您網站的完全訪問權限。

  • 您的WordPress管理員帳戶
  • 虛擬主機控制面板帳戶
  • FTP帳戶
  • 用於WordPress網站的MySQL數據庫
  • 用於WordPress管理員或託管帳戶的電子郵件帳戶

所有這些帳戶均受密碼保護。 使用弱密碼會使黑客更容易使用一些基本的黑客工具來破解密碼。

您可以通過為每個帳戶使用唯一且安全的密碼輕鬆避免這種情況。 請參閱關於為WordPress初學者管理密碼的最佳方法的指南,以了解如何管理所有這些強密碼。

3.無保護地訪問WordPress管理員(wp-admin目錄)

WordPress管理區域使用戶可以在WordPress網站上執行不同的操作。 它也是WordPress網站最常受到攻擊的區域。

使其不受保護可以使黑客嘗試不同的方法來破解您的網站。 您可以通過在WordPress admin目錄中添加身份驗證層來使他們感到困難。

首先,您應該使用密碼保護您的WordPress管理區域。 這增加了一個額外的安全層,任何嘗試訪問WordPress管理員的人都必須提供額外的密碼。

如果您運行多作者或多用戶WordPress網站,則可以為網站上的所有用戶強制使用強密碼。 您還可以添加兩因素身份驗證,使黑客更難以進入您的WordPress管理區域。

4.不正確的文件權限

檔案權限

文件權限是您的Web服務器使用的一組規則。 這些權限可幫助您的Web服務器控制對站點文件的訪問。 不正確的文件權限可能使黑客有權寫入和更改這些文件。

您的所有WordPress文件的文件權限都應為644。 WordPress網站上的所有文件夾的文件權限均應為755。

請參閱有關如何解決WordPress中的圖片上傳問題的指南,以了解如何應用這些文件權限。

5.不更新WordPress

一些WordPress用戶擔心更新其WordPress網站。 他們擔心這樣做會破壞他們的網站。

WordPress的每個新版本均修復了錯誤和安全漏洞。 如果您不更新WordPress,則有意讓您的網站容易受到攻擊。

如果您擔心更新會破壞您的網站,則可以在運行更新之前創建完整的WordPress備份。 這樣,如果某些操作不起作用,則可以輕鬆地還原到以前的版本。

6.不更新插件或主題

就像核心WordPress軟件一樣,更新主題和插件也同樣重要。 使用過時的插件或主題可能會使您的網站易受攻擊。

安全漏洞和錯誤通常在WordPress插件和主題中發現。 通常,主題和插件作者會很快對其進行修復。 但是,如果用戶不更新其主題或插件,那麼他們將無能為力。

確保您的WordPress主題和插件保持最新。

7.使用普通FTP代替SFTP / SSH

SFTP代替FTP

FTP帳戶用於使用FTP客戶端將文件上傳到您的Web服務器。 大多數主機提供商使用不同的協議支持FTP連接。 您可以使用普通FTP,SFTP或SSH進行連接。

當您使用普通FTP連接到站點時,您的密碼將未經加密地發送到服務器。 它可以被監視並且很容易被盜。 不要使用FTP,而應始終使用SFTP或SSH。

您無需更改FTP客戶端。 大多數FTP客戶端可以通過SFTP和SSH連接到您的網站。 連接到您的網站時,您只需將協議更改為“ SFTP – SSH”。

8.使用Admin作為WordPress用戶名

不建議使用“ admin”作為您的WordPress用戶名。 如果您的管理員用戶名是admin,則應立即將其更改為其他用戶名。

有關詳細說明,請查看有關如何更改WordPress用戶名的教程。

9.空主題和插件

惡意軟件

互聯網上有許多網站免費分發付費的WordPress插件和主題。 有時候,很容易被誘惑使用您網站上的那些空插件和主題。

從不可靠的來源下載WordPress主題和插件非常危險。 它們不僅可以危害您網站的安全,還可以用來竊取敏感信息。

您應該始終從可靠的來源(例如,插件/主題開發者網站或官方WordPress資源庫)下載WordPress插件和主題。

如果您負擔不起或不想購買高級插件或主題,那麼始終有針對這些產品的免費替代產品。 這些免費的插件可能不如付費插件,但它們可以完成工作,最重要的是確保您的網站安全。

您還可以在我們網站的“交易”部分中找到許多流行的WordPress產品的折扣。

10.不保護WordPress配置wp-config.php文件的安全

WordPress配置文件wp-config.php包含您的WordPress數據庫登錄憑據。 如果遭到入侵,它將顯示可能使黑客完全訪問您的網站的信息。

您可以通過使用.htaccess拒絕對wp-config文件的訪問來添加額外的保護層。 只需將此小代碼添加到您的.htaccess文件中。


order allow,deny
deny from all

11.不更改WordPress表前綴

許多專家建議您更改默認的WordPress表前綴。 默認情況下,WordPress使用 wp_ 作為它在數據庫中創建的表的前綴。 您可以選擇在安裝過程中對其進行更改。

建議您使用更複雜的前綴。 這將使黑客更難猜測您的數據庫表名稱。

有關詳細說明,請參閱有關如何更改WordPress數據庫前綴以提高安全性的指南。

清理被黑的WordPress網站

清理被黑的WordPress網站可能非常痛苦。 但是,可以做到。

以下是一些資源,可幫助您開始清理被黑的WordPress網站:

獎金提示

為了獲得堅實的安全性,我們在所有WordPress網站上都使用了Sucuri。 Sucuri提供惡意軟件檢測和刪除服務以及網站防火牆,可以保護您的網站免受最常見的威脅。

了解Sucuri如何幫助我們在3個月內阻止450,000 WordPress攻擊

我們希望本文能幫助您了解WordPress網站遭到黑客入侵的主要原因。 您可能還想查看我們的終極WordPress安全指南,以保護您的WordPress網站。

如果您喜歡這篇文章,請訂閱我們的YouTube頻道WordPress視頻教程。 您也可以在找到我們 推特 和Facebook。