首先,不僅是WordPress,互聯(lián)網(wǎng)上所有具有內(nèi)容管理系統(tǒng)(CMS)的網(wǎng)站都容易受到黑客攻擊。
WordPress網(wǎng)站成為通用目標(biāo)的原因是因為WordPress是世界上最受歡迎的網(wǎng)站CMS。它為全球超過33%的網(wǎng)站提供支持,這種巨大的流行度使黑客可以輕松地找到許多安全性較低的網(wǎng)站,以便他們可以利用它們及其共享漏洞,無論它是什么。
有一個普遍的誤解,認(rèn)為黑客正在濫用個人數(shù)據(jù)或?qū)⒕W(wǎng)站劫為人質(zhì)。雖然這可能發(fā)生,但根據(jù)我們的經(jīng)驗,超過95%的攻擊希望僅散布垃圾郵件!他們訪問服務(wù)器并劫持它以共享一些不法鏈接等。另一個常見的情況是初學(xué)者正在學(xué)習(xí)僅出于刺激目的而利用不太安全的網(wǎng)站。 這不會減少威脅的嚴(yán)重性。網(wǎng)站關(guān)閉或顯示垃圾內(nèi)容(尤其是成人內(nèi)容、非法內(nèi)容)會嚴(yán)重?fù)p害品牌。
那么為什么會發(fā)生呢?讓我們看一下最重要的4個原因,以及如何防患于未然。
1.插件和主題
過時或來路不明的插件和主題是我們看到網(wǎng)站被破壞的第一原因。外部插件和主題可能會有風(fēng)險,因為它們包含將在您的應(yīng)用程序服務(wù)器上運行的代碼。一旦漏洞位于主題或插件上,黑客社區(qū)便會像野火一樣傳播它,通常數(shù)小時之內(nèi)就影響了數(shù)百萬個站點。
預(yù)防很簡單。您應(yīng)定期更新插件和主題,因為開發(fā)人員將發(fā)布安全性改進(jìn)。您還應(yīng)該格外審慎地選擇插件和主題,并力求將插件數(shù)量降到最低,并爭取信譽良好的開發(fā)人員提供良好的評分和反饋。很多用戶都喜歡免費的東西,尤其是一些所謂免費的盜版(不是原作者官方銷售的)主題和插件,一定一定一定不要使用盜版主題和插件!
2.托管平臺漏洞
主機空間是托管網(wǎng)站的必不可少的剛需,國內(nèi)不少人還在找免費或低價主機空間來托管網(wǎng)站,但是免費或廉價共享主機非常受到普通WordPress黑客的攻擊。我們已經(jīng)看到了幾次廉價的托管服務(wù)提供商被定位為目標(biāo)的情況,并且其上的所有網(wǎng)站都遭到了黑客攻擊。這通常可能意味著您完全失去了網(wǎng)站。
真正免費做公益的托管平臺是不存在的,因為主機和帶寬資源是要費用支出的,打著免費旗號的都是為了不可告人目的的推廣手段!免費的東西也不會有好的性能和安全!請記住一句話:免費的永遠(yuǎn)是最貴的!
那么,我們應(yīng)該如何挑選托管平臺呢?如果是國內(nèi)網(wǎng)站,我們建議選擇像 阿里云、騰訊云這樣的大公司產(chǎn)品;如果是外貿(mào)網(wǎng)站,建議選擇 SiteGround(WordPress官方推薦)、GoDaddy(國外大品牌) 。
3.密碼
這些年,倡萌為不少人處理過WordPress網(wǎng)站各種問題,有些時候需要他們提供管理員賬號信息,對于大多數(shù)人的管理密碼,我表示無語:admin123、654321等等!弱密碼就意味著你直接給黑客開門!
這里說的密碼,應(yīng)該包括:
- WordPress管理員賬戶
- 用于WordPress網(wǎng)站的MySQL數(shù)據(jù)庫
- FTP賬戶
- 用于WordPress賬戶的郵箱賬戶
以上這些密碼都應(yīng)該使用高強度密碼(包含了大小寫字母、數(shù)字和特殊符號等),并且不要所有賬號都用同一個密碼,如果密碼很多,可以考慮使用第三方密碼管理工具,比如 Last Pass 等。如果您使用弱密碼,那么黑客可以通過一些黑客工具輕松獲取密碼。
4. WORDPRESS更新
根據(jù)Sucuri的《被黑客入侵的網(wǎng)站報告》,當(dāng)受感染的WordPress黑客受害者中,約有55-61%的人正在使用過期的WordPress,這絕對不是巧合:
默認(rèn)情況下,WordPress安全更新應(yīng)該自動進(jìn)行。但是有些主機禁用了該功能,因此您不能指望它始終有效。
根據(jù)我們的經(jīng)驗,不更新站點的人分為兩個陣營…
- 他們推遲了更新(或完全忽略了更新),因為他們太忙了……
- 他們擔(dān)心更新會導(dǎo)致網(wǎng)站崩潰(這種情況可能是主題或插件不兼容)
如果您在第一個營地-您還在等什么!如果您認(rèn)為自己的網(wǎng)站可能會崩潰,那么最好備份或找專業(yè)人員協(xié)助處理。
WordPress發(fā)布更新是有原因的,并且保持最新版本對于確保網(wǎng)站的安全至關(guān)重要。
防患于未然,阻止WORDPRESS黑客嘗試
大多數(shù)人搭建網(wǎng)站都不考慮安全性,在搭建網(wǎng)站時,他們最關(guān)心網(wǎng)站的外觀和功能,網(wǎng)站搭建好以后,就將精力集中在制作內(nèi)容建設(shè)和SEO,而在進(jìn)行過程中卻忽略了安全性。
顯然,這是一個巨大的錯誤!所以,從現(xiàn)在起,多多關(guān)注你的網(wǎng)站安全吧!因為不管你花多少精力做了多好的網(wǎng)站,不重視安全的話,可能下一秒網(wǎng)站就沒了!
對于網(wǎng)站安全,建議繼續(xù)閱讀下面的文章:
- WordPress網(wǎng)站如何被黑客入侵
- 保護(hù)您的WordPress網(wǎng)站免受蠻力攻擊
- WordPress 限制用戶登錄嘗試次數(shù) Limit Login Attempts
- WordPress文件讀寫權(quán)限建議
- 15個有用的WordPress .htaccess 代碼片段
- 增強WordPress安全性的10個Nginx規(guī)則
- 如果您的網(wǎng)站被列入黑名單該怎么辦
