如何防范WordPress网站常见的黑客攻击?
WordPress约占所有网站的25%-30%,庞大的数量使得WordPress网站更容易受到各种常见的黑客攻击。
首先,你为什么要关心,为什么会有人想要专门攻击你的网站(即使它可能是一个相对较小的网站)?
为了回答这个问题,让我们来看看Wordfence团队在研究黑客攻击WordPress网站时发现了什么:
事实证明,大约55%的黑客攻击WordPress网站是为了利用网站服务器发送垃圾邮件、黑帽SEO或执行恶意重定向。
而且还有一个共同点,小型WordPress网站更容易被拿下(因为防御措施不足)。
例如,如果一个黑客设法在WordPress中找到一个漏洞,并占领了一万多个小网站,这就为他们提供了一个巨大的黑帽SEO网络。
这意味着每个WordPress网站都是有风险的,不管你的WordPress网站有多大。
最常见的WordPress黑客攻击
WPTemplate.com的另一项研究发现,最常见的WordPress黑客和入侵点是:
服务器漏洞——占41%,
受试者–29%,
插件–22%,
弱密码–8%。
以下是避免它们的方法:
1.服务器漏洞
如果你的虚拟主机服务器有不安全的记录,容易受到普通的WordPress黑客攻击,那么你别无选择,只能使用更安全的替代方案。
如果你考虑为外国访问者制作一个WordPress网站,以下服务器提供商是一个不错的选择:
WPEngine
金斯塔
场地
2.不安全的主题
保护自己免受任何与主题相关的漏洞的最好办法就是不要随便下载开心的WordPress主题,尽可能选择值得信赖的WordPress主题开发者,或者通过WordPress主题市场下载。
3.插件漏洞
如上所述,插件漏洞是WordPress黑客攻击的第三大罪魁祸首。
但问题其实更复杂,因为插件漏洞可以进行更多的个体攻击。
例如,您可能会成为以下内容的受害者:攻击文件、SQL注入、跨站脚本(XSS)、后门攻击等。
不幸的是,这里没有适合所有类型的解决方案。这是因为每个人同时运行大量的插件,不像主题,你只有一个。
避免这种攻击的最好方法是阅读像Sucuri这样的博客,即使只是标题而不是实际的帖子。Sucuri是WordPress安全领域的知名公司。他们在发现插件和常见WordPress黑客攻击的新漏洞方面做得非常出色。
总之,如果有一天他们警告你,你网站上运行的插件有问题,请停用它,等待版本更新。
4.密码相关问题
接下来,还有各种与密码相关的问题。
然而,这些不仅仅是因为弱密码,还涉及其他破坏安全密码的漏洞。
a)弱密码
无论何时建立新用户帐户,只使用安全且复杂的密码是明智的。否则密码暴力开心只需要几秒钟就能获得你的账号权限。
您也可以根据强制强密码插件的建议来设置密码。
实际上,只要使用不包含任何常用单词和您的帐户名、大小写字母混合、数字和符号的不少于8位的字符串作为密码,一般都是安全的,比如2Aql & x91 * M1x。
b)登录页面攻击
默认的WordPress登陆页面是众所周知的……通常是YOURSITE.com/wp-login.php.
所以各种机器人直接进入页面,试图通过暴力或者其他方法开心密码。
你可以这样做:
使用登录锁定插件来限制登录尝试。
使用Duo双因素身份认证插件启用两步身份认证。(账号密码+短信)
通过Jetpack的安全功能模块启用强保护功能。(从3.4.1版本开始,由于Jetpack收购了优秀的BruteProtect插件,增加了增强的保护功能。)
5.本地计算机
很简单,如果你用来访问网站的电脑不安全,那么上述所有策略都显得苍白无力。
基本上,每当你访问网站的wp-admin工作时,如果你的电脑本身存在安全漏洞,那么你就会通过wp-admin操作暴露在别有用心的“病毒”面前。所以你一定要确保你的电脑更新到系统的最新版本,最好给你的电脑安装一个杀毒软件。
如果你对常见的WordPress黑客攻击有什么问题和建议,可以留言分享给大家!