你的WordPress网站将被黑攻击的10个原因(以及如何停止它)

Akshat Choudhary. 经过 Akshat Choudhary.  |  11月13日,2020年

一个黑客的WordPress网站与您的家一起爆击一样损坏。它可以完全破坏你的安心,对你的在线业务产生不利影响。 

为什么黑客定位WordPress网站?答案比较简单:WordPress是这些天网站创作的单个最大平台,所以有一个更大的攻击基础;这引起了在线犯罪分子的注意。 

那么,黑客如何影响你的网站? 

根据攻击类型,您的网站可能遭受以下任何内容:

  • 它可以完全污染;
  • 它可以在任何设备上加载或操作非常缓慢;
  • 它可以完全崩溃和故障;
  • 它可以展示可怕的“白屏”;
  • 它的传入访问者可以重定向到其他可疑网站;
  • 它可能会丢失所有有价值的客户数据。

此列表并非详尽无遗,但您得到了理念。

现在我们知道成功的黑客如何影响您的网站和在线业务,让我们看看WP Hacks背后的十大理由并防止他们。

 

1.不安全的网络主机 

与任何网站一样,WordPress在Web主机或服务器上托管。不幸的是,大多数网站所有者都不关注他们选择的网络主机,并选择他们可以找到最便宜的网络主机。例如,在共享托管计划上托管一个网站 - 将其服务器资源与许多其他网站一起分享其服务器资源的网站更实惠。

这可以使您的网站容易受到黑客作为共享服务器上任何网站的成功黑客。单个黑客网站可以消耗整体服务器带宽并影响所有其他网站的性能。

解决此问题的唯一方法是选择可靠的主机和虚拟或专用服务器。

专家提示: 如果您已经使用了共享托管计划,请在提供vps托管并使交换机提供vps。

 

2.使用弱密码

弱密码是针对您帐户的成功蛮力攻击背后的主要原因。即使是今天,用户也继续使用弱和公共密码,如“密码”或“123456”;如果您是其中之一,您的网站可能会陷入困境!

猜测弱密码允许黑客进入管理账户,在那里他们可以造成最大损坏。

你如何解决这个问题?简单,确保所有帐户用户(包括管理员用户)为其登录凭据配置强密码。至少8个字符,密码必须是大写和小写字母,数字和符号的混合。 

为了增加安全,安装可以自动生成和存储强密码的密码管理工具。

专家提示: 您可以使用插件重置所有用户的密码。

 

3.过时的WP版本

过时的软件是网站被黑客攻击的最常见原因之一。尽管有免费下载,大多数网站用户都将其网站推迟到最新版本,因为担心导致其网站崩溃的更新。

黑客利用旧版本中的任何漏洞或错误,并导致SQL注入等问题,WP-VCD恶意软件,SEO垃圾邮件&像网站这样的其他主要问题重定向到另一个网站。

你怎么解决这个问题?当您看到有关仪表板上更新的通知时,请尽快更新您的网站。

专家提示: 如果您担心更新崩溃的Live网站,您可以首先在暂存站点上测试更新。

 

4.过时的WP插件和主题

类似于前一点,黑客还利用了在网站上安装的过时,未使用或放弃的插件和主题。具有超过55,000个可用的主题,即使来自不安全或不可信任的网站,也很容易安装插件或主题。 

此外,许多用户不会将已安装的插件/主题更新到最新版本或找不到更新的版本。这使得黑客更容易完成工作& infect sites.

你如何避免这个问题?与核心WP版本一样,定期更新您网站上的每个已安装的插件/主题。占据所有未使用的库存,并用更好的替代方案替换它们。

您可以从托管帐户中更新您的插件/主题。

专家提示: 我们建议在每周运行更新时留出时间。在暂存站点上测试它们,然后更新您的网站。

 

5.常见管理员用户名 

除了密码弱,用户还会创建易于猜测的常见用户名。 

这包括admin用户的常见用户名 - “管理员”,“admin1”或“admin123”。 Common Admin UserName使黑客更轻松地进入WP安装中的管理帐户和控制后端文件。

你如何避免这个问题?如果您使用的任何此类用户名易于猜测,请立即将它们更改为唯一的用户名。做它最简单的方法是通过您的托管帐户’S用户管理工具,通过删除先前的管理员用户并创建具有唯一用户名的新管理员用户。

作为第一步,更改管理员用户的默认用户名并限制具有管理员权限的用户。

专家提示: WordPress有6个不同的用户角色,权限有限。只授予管理员访问真正需要它的用户。

 

6.使用无效的插件/主题 

返回插件/主题的重要性,用户可以访问许多销售流行和付费插件和主题的无效或盗版副本的网站。虽然这些是可以自由使用的,但它们通常会用恶意软件充斥。他们可以损害您的网站的整体安全性,并使黑客更容易利用。 

作为一个盗版副本,无效的插件/主题从其开发团队没有任何可用的更新,因此不会有任何安全修复程序。

你如何解决这个问题?简单,对于开始,仅从可信网站和市场下载原始插件和主题。

专家提示: 如果您不希望支付付费或高级插件和主题,请选择一个具有有限功能的相同工具的自由版本,但仍然比无效的版本更安全。 

 

7.对WP-Admin文件夹的未受保护访问权限

要控制您的网站,黑客通常会尝试在安装中闯入并控制WP-Admin文件夹。作为网站所有者,您必须采取措施来保护您的WP-Admin目录。

如何保护WP-Admin文件夹?首先,限制访问此关键文件夹的用户数。此外,请应用密码保护作为访问WP-Admin文件夹的添加层。您可以使用Web主机帐户中的CPANEL的“密码保护目录”功能执行此操作。

专家提示: 除了这些修复之外,您还可以为所有管理帐户实现两个因子身份验证(或2FA)保护。

 

8.非SSL网站

您可以通过在您的网站上安装SSL证书轻松将HTTP网站迁移到HTTPS。 SSL(或安全套接字层)是加密Web服务器和客户端浏览器之间的任何数据传输的安全模式。

如果没有这种加密,黑客可以拦截数据并窃取它。此外,非安全网站可以对您的业务有许多负面影响 - 降低SEO排名,丧失客户信任,或进入流量下降。

你如何解决这个问题?您可以从托管公司或SSL提供程序快速获取SSL证书。它加密您网站发送和收到的所有数据。 

专家提示: 您可以从类似的地方获得免费的SSL证书 让我们加密,但这些提供了限制保护,只能足以让入门网站或小型位点。

 

9.没有防火墙保护

缺乏防火墙保护是黑客可以绕过网站安全措施并渗透后端资源的另一种常见原因。防火墙是对黑客的最后一系列防护,以及您房屋上安装的安全警报等工作。防火墙监控来自各种IP地址的Web请求,包括可疑(或坏)。 

他们可以识别和阻止过去已知的请求,从而防止对您的网站域的易于访问黑客。 Web应用程序防火墙可以挫败各种攻击,包括蛮力攻击,XS和SQL注入。

专家提示: 防火墙提供了急需的安全性,是您的第一道防线。但是安装了恶意软件扫描仪很重要。

 

10.缺乏WordPress硬化措施

通常,黑客瞄准WP安装中最脆弱的区域或缺点,以非法访问或损坏网站。 WordPress团队已经确定了这些脆弱的区域,并设计了每个网站推荐的12个硬化措施的清单。

其中一些包括:

  • 禁用文件编辑器;
  • 防止PHP在不受信任的文件夹中执行;
  • 更改安全键;
  • 禁止插件安装;
  • 自动注销非活动用户;

您如何实施这些硬化措施?虽然有些步骤很容易理解,但其他步骤需要WordPress如何工作的技术专长。 

专家提示: 您可以自己实施硬化措施。但是,在这些情况下,某些措施需要技术专业知识,使用插件更容易和更安全。

 

特色图像 通过pexels..