首先,不仅是WordPress,互联网上所有具有内容管理系统(CMS)的网站都容易受到黑客攻击。WordPress网站成为通用目标的原因是因为WordPress是世界上最受欢迎的网站CMS。它为全球超过33%的网站提供支持,这种巨大的流行度使黑客可以轻松地找到许多安全性较低的网站,以便他们可以利用它们及其共享漏洞,无论它是什么。有一个普遍的误解,认为黑客正在滥用个人数据或将网站劫为人质。虽然这可能发生,但根据我们的经验,超过95%的攻击希望仅散布垃圾邮件!他们访问服务器并劫持它以共享一些不法链接等。另一个常见的情况是初学者正在学习仅出于刺激目的而利用不太安全的网站。 这不会减少威胁的严重性。网站关闭或显示垃圾内容(尤其是成人内容、非法内容)会严重损害品牌。
那么为什么会发生呢?让我们看一下最重要的4个原因,以及如何防患于未然。
1.插件和主题
过时或来路不明的插件和主题是我们看到网站被破坏的第一原因。外部插件和主题可能会有风险,因为它们包含将在您的应用程序服务器上运行的代码。一旦漏洞位于主题或插件上,黑客社区便会像野火一样传播它,通常数小时之内就影响了数百万个站点。推荐阅读:《如何防止和应对WordPress的DDoS攻击?》
预防很简单。您应定期更新插件和主题,因为开发人员将发布安全性改进。您还应该格外审慎地选择插件和主题,并力求将插件数量降到最低,并争取信誉良好的开发人员提供良好的评分和反馈。很多用户都喜欢免费的东西,尤其是一些所谓免费的盗版(不是原作者官方销售的)主题和插件,一定一定一定不要使用盗版主题和插件!
2.托管平台漏洞
主机空间是托管网站的必不可少的刚需,国内不少人还在找免费或低价主机空间来托管网站,但是免费或廉价虚拟主机非常受到普通WordPress黑客的攻击。我们已经看到了几次廉价的托管服务提供商被定位为目标的情况,并且其上的所有网站都遭到了黑客攻击。这通常可能意味着您完全失去了网站。
真正免费做公益的托管平台是不存在的,因为主机和带宽资源是要费用支出的,打着免费旗号的都是为了不可告人目的的推广手段!免费的东西也不会有好的性能和安全!请记住一句话:免费的永远是最贵的!
3.密码
这些年,倡萌为不少人处理过WordPress网站各种问题,有些时候需要他们提供管理员账号信息,对于大多数人的管理密码,我表示无语:admin123、654321等等!弱密码就意味着你直接给黑客开门!推荐阅读:《网站抓取攻击类型和如何保护》
这里说的密码,应该包括:WordPress管理员账户/用于WordPress网站的MySQL数据库/FTP账户/用于WordPress账户的邮箱账户
以上这些密码都应该使用高强度密码(包含了大小写字母、数字和特殊符号等),并且不要所有账号都用同一个密码,如果密码很多,可以考虑使用第三方密码管理工具,比如 Last Pass 等。如果您使用弱密码,那么黑客可以通过一些黑客工具轻松获取密码。
4. WORDPRESS更新
根据Sucuri的《被黑客入侵的网站报告》,当受感染的WordPress黑客受害者中,约有55-61%的人正在使用过期的WordPress,这绝对不是巧合:
默认情况下,WordPress安全更新应该自动进行。但是有些主机禁用了该功能,因此您不能指望它始终有效。
根据我们的经验,不更新站点的人分为两个阵营…他们推迟了更新(或完全忽略了更新),因为他们太忙了……他们担心更新会导致网站崩溃(这种情况可能是主题或插件不兼容)
WordPress发布更新是有原因的,并且保持最新版本对于确保网站的安全至关重要。推荐相关阅读:《如何检查您的 Linux 服务器是否受到 DDoS 攻击》
