为什么 WordPress 网站会被黑客攻击(以及如何预防)

05/29/2023

WordPress 基础知识

近年来,我们的一位读者问我们为什么 WordPress 网站会被黑客攻击。发现自己的网站被黑会让人非常沮丧。虽然所有网站都可能成为目标,但你可能在一些方面犯了错误,导致自己的网站更容易被攻击。在这篇文章中,我们将分享 WordPress 网站被黑的主要原因以及如何避免这些错误来保护你的网站。

为什么黑客会瞄准 WordPress?

首先,不仅仅是 WordPress。互联网上的所有网站都容易受到黑客攻击。WordPress 之所以成为常见目标,是因为它是全球最受欢迎的网站构建器,拥有超过 43% 的市场份额,也就是说全球有数亿个网站是用 WordPress 搭建的。

1. 不安全的网络托管

像所有网站一样,WordPress 网站也托管在网络服务器上。有些托管公司未能妥善保护其托管平台,这使得托管在其服务器上的所有网站都容易受到黑客攻击。选择一个好的 WordPress 托管服务提供商可以有效避免这种情况。如果你想采取额外的预防措施,我们推荐使用托管 WordPress 服务提供商。

2. 使用弱密码

密码是你访问 WordPress 网站的钥匙。你需要确保为以下账号使用强而独特的密码,因为它们都可能为黑客提供完全访问你网站的权限:

  • 你的 WordPress 管理员账户
  • 你的网络托管控制面板账户
  • 你的 FTP 账户
  • 你网站使用的 MySQL 数据库
  • 所有用于 WordPress 管理和托管的电子邮件账户

可以通过为每个账户使用独特且强大的密码来轻松避免这个问题。有关如何管理这些强密码的更多信息,请参见我们的密码管理指南。

3. 未保护的 WordPress 管理区域(wp-admin)

WordPress 管理区允许用户在网站上执行不同的操作,也是最常被攻击的区域。你可以通过为管理目录添加身份验证层来增加破解难度。首先,你可以为 WordPress 管理区添加密码保护。你还可以为所有用户强制使用强密码,并添加两因素身份验证(2FA),以增加安全性。

4. 错误的文件权限

文件权限是由你的网络服务器使用的一组规则,帮助控制对网站文件的访问。错误的文件权限可能让黑客写入和更改这些文件。所有 WordPress 文件应该设置为 644 文件权限,所有文件夹应该设置为 755 文件权限。查看我们的指南了解如何修复 WordPress 文件权限问题。

5. 未及时更新 WordPress

一些 WordPress 用户害怕更新他们的网站,担心更新会导致网站出问题。每个新版本的 WordPress 都会修复漏洞和安全问题。不更新 WordPress 就意味着故意让你的网站暴露在风险中。如果你怕更新会破坏网站,可以在更新前创建完整的备份,这样一旦出了问题,可以轻松恢复到之前的版本。

6. 未更新插件和主题

和 WordPress 核心程序一样,更新你的插件和主题也同等重要。使用过时的插件或主题会使你的网站易受攻击。确保你的 WordPress 主题和插件保持最新状态。查看我们的指南了解如何正确更新 WordPress、插件和主题。

7. 使用普通的 FTP 而非 SFTP/SSH

FTP 账户用于通过 FTP 客户端向你的网络服务器上传文件。你应该始终使用 SFTP 或 SSH,而不是普通的 FTP,来连接到你的网站。大多数 FTP 客户端都可以使用 SFTP 和 SSH 进行连接,只需在连接时更改协议即可。

8. 使用“admin”作为 WordPress 用户名

不推荐使用“admin”作为 WordPress 用户名。如果你的管理员用户名是“admin”,你应立即更改为其他用户名。查看我们的教程了解如何更改网站用户名。

9. 使用盗版主题和插件

互联网上有许多网站免费提供付费的 WordPress 插件和主题。使用这些盗版插件和主题非常危险,可能损害你的网站安全,甚至被用于窃取敏感信息。应该始终从可靠来源,如开发者网站或官方 WordPress 仓库下载插件和主题。

10. 未保护 wp-config.php 文件

wp-config.php 文件包含你 WordPress 数据库的登录凭据。如果被黑客获取,可能导致你的网站完全暴露。你可以通过使用 .htaccess 文件拒绝访问 wp-config.php 文件来增加保护。添加以下代码到 .htaccess 文件中:

<files wp-config.php>
order allow,deny
deny from all
</files>

11. 未更改 WordPress 表前缀

许多专家建议更改默认的 WordPress 表前缀。默认情况下,WordPress 使用 wp_ 作为数据库表前缀,安装时可以更改。推荐使用更复杂的前缀,以增加黑客猜测数据库表名称的难度。查看我们的指南了解如何更改 WordPress 的数据库前缀以提高安全性。

清理被黑的 WordPress 网站

清理被黑的网站虽然痛苦,但也是可以完成的。以下是一些资源,可帮助你开始清理被黑的 WordPress 网站:

  • 如何识别你的网站被黑以及如何修复
  • 如何扫描网站以检测恶意代码
  • 如何发现并修复网站中的后门
  • 被锁定在 WordPress 管理区域外该怎么办
  • 如何从备份中恢复 WordPress 网站

额外提示

为了确保万无一失,可以使用 Sucuri 的恶意软件检测和删除服务。Sucuri 还提供网站防火墙,保护你的网站免受最常见的威胁。

总结

希望这篇文章帮助你了解了 WordPress 网站被黑的主要原因及其预防方法。你或许还希望阅读我们的指南,了解如何增加博客流量及提高 WordPress 性能的专家提示。

Share 

Share 0
Share 0
Pin 0
Author Image

Written by

Share 0
Share 0
Share 0
Previous Article
Next Article

Related Posts

  • 2024-07-28
  • WordPress 基础知识

如何如专业人士般使用WordPress主题定制器(终极指南)

WordPress主题定制器提供了出色的功能,使你无需触碰代码即可创建一个视觉上吸引人的站点。然而,导航各种自定义选项有时可能让人觉得不知所措。在这篇文章中,我们将引导你了解默认面板,并教你如何像专业人士一样使用WordPress主题定制器。

到文章结尾,你将能够使你的网站看起来更加精致和专业。

閱讀更多
  • 2024-07-26
  • WordPress 基础知识

如何限制或禁用WordPress自动清空垃圾箱

默认情况下,WordPress会在30天后自动删除垃圾箱中的内容。然而,有些用户可能希望更频繁或手动清空垃圾箱。在本文中,我们将向您展示如何限制或禁用WordPress自动清空垃圾箱。

閱讀更多
  • 2024-07-23
  • WordPress 基础知识

如何轻松地在WordPress博客文章中嵌入视频

您是否想在WordPress博客文章中嵌入视频?视频可以为您的网站带来活力,并且是增加用户参与度的绝佳方式。WordPress使得从YouTube、Vimeo、Facebook、Twitter等视频托管网站嵌入视频变得非常简单。在这个初学者指南中,我们将向您展示如何在WordPress博客文章、页面和侧边栏小部件中轻松嵌入视频。

閱讀更多
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>