WordPress教程 · WPtech

WordPress網站被黑客攻擊的11個原因

•̀.̫•́✧ · 1月9日 · 2020年本文1909字 · 阅读5分钟365

最近,我們經常看到WordPress網站被黑客攻擊的文章,而我自己也有這樣的親身體驗,發現WordPress網站遭到黑客攻擊後,讓人感覺很無奈。下面我們將分享WordPress網站被黑客攻擊的主要原因,來避免一些操作不當的小細節並保護網站。

WordPress網站被黑客攻擊的11個原因-歪?是3.1415926吗

為什麼WordPress被黑客攻擊?

其實,不只是WordPress被黑客攻擊,互聯網上的所有網站都容易遭受黑客攻擊。很多人覺得被黑客攻擊的網站都是WordPress網站,原因是WordPress是世界上最受歡迎的建站平台,佔全球網站的31%,約數億個網站。這種網站的覆蓋面積能吸引黑客找到一些不太安全的網站,從而攻擊利用它們。

不同黑客攻擊網站的動機也不一樣,對於初學者來說,他們只是想利用你網站的不安全進行黑客練習。而對於一些惡意的黑客,他們想利用你的網站,分發惡意軟件,攻擊其他網站,或發送垃圾郵件到互聯網。

1、服務器不安全

WordPress網站託管在Web服務器上,一些託管公司沒有​​採取妥善的保護措施,這可能會使網站容易受到黑客攻擊。選擇大型比較正規的服務器或虛擬主機,可以避免這種情況。適當安全的服務器可以阻止許多對WordPress站點的最常見攻擊。

2、密碼太弱

密碼是WordPress網站的關鍵。需要保證下面每個帳戶使用強密碼,因為它們都可能會被黑客攻擊,然後獲取網站的完全訪問權限。

  • WordPress管理員帳戶
  • Web主機控制面板帳戶
  • FTP帳戶
  • MySQL數據庫帳戶
  • WordPress管理員或電子郵件帳戶
WordPress網站被黑客攻擊的11個原因-歪?是3.1415926吗

使用弱密碼可以讓黑客很容易的利用一些破解工具暴力破解。將賬號密碼設置強大一點,可以避免這種情況。

3、沒有添加wp-admin目錄保護

WordPress管理後台提供了操作網站的權限,它也是WordPress站點中最常被攻擊的區域。可以向WordPress管理目錄添加身份驗證,來使攻擊變得困難。

首先,應該設置強密碼的管理員後台賬號,如果有多作者或多用戶,還需要為網站添加對所有用戶強制使用強密碼。另外,還可以添加雙重身份驗證,使黑客更難進入WordPress管理後台。

4、文件權限不正確

文件權限是Web服務器使用的一組規則,這些規則可以控制訪問網站上文件的權限。不正確的文件權限可以讓黑客有權編寫和更改這些文件。所有WordPress文件都應具有644權限,所有文件夾都應具有755權限。

WordPress網站被黑客攻擊的11個原因-歪?是3.1415926吗

5、沒有更新WordPress

一些站長擔心更新WordPress會破壞網站數據和結構,其實,WordPress的每個新版本都在修復錯誤和安全漏洞。如果不及時更新WordPress,這些漏洞很容易遭到黑客攻擊。如果擔心更新會破壞網站,可以在更新前對網站進行完整備份。

6、沒有更新插件和主題

跟WordPress核心程序一樣,更新主題和插件同樣重要。使用過時的插件或主題可能會使網站遭到攻擊。在WordPress插件和主題中發現安全漏洞和錯誤,其作者會快速修復它們。但如果用戶沒有及時更新,就可能給黑客造成可趁之機。

7、使用了普通FTP而不是SFTP / SSH

FTP用於將文件上傳到Web服務器,大多數服務器提供商使用了不同的協議支持FTP連接。我們可以使用普通FTP,SFTP或SSH進行連接。

WordPress網站被黑客攻擊的11個原因-歪?是3.1415926吗

當使用普通FTP時,密碼將以未加密的方式發送到服務器,它可能會被窺探並輕易被盜,我們應該盡量不用普通FTP。

8、使用Admin作為WordPress用戶名

建議不要使用“admin”作為WordPress用戶名。如果管理員用戶名是admin,應立即改為其他用戶名。

9、盜版的主題和插件

網上有很多網站免費發布的付費插件和主題,從不可靠的來源下載的主題和插件是非常危險的。它們不僅可以危及網站的安全性,還可以竊取敏感信息。

10、wp-config.php文件沒有受到保護

WordPress配置文件wp-config.php包含了數據庫登錄憑據,一旦它被洩露,那麼黑客就能完全訪問你的網站信息。我們可以通過使用.htaccess拒絕訪問wp-config文件來添加額外的保護。只需將以下代碼添加到.htaccess文件即可。

<files wp-config.php>
order allow,deny
deny from all
</files>

11、沒有更改WordPress表前綴

WordPress默認使用wp_作為數據庫表的前綴,我們可以選擇在安裝期間更改。很多站長建議要更改默認的WordPress表前綴,建議使用更複雜的表前綴。

對於黑客攻擊我們還是要做到防患於未然,畢竟被攻擊了是一件很頭疼的事情,雖然對於小站長來說損失沒有那麼大,但還是會讓人很揪心。除了以上的防範措施,我們也可以藉助一些安全插件。

0 条回应