为什么 WordPress 网站会被黑客攻击(以及如何预防)

05/29/2023

WordPress 基础知识

近年来,我们的一位读者问我们为什么 WordPress 网站会被黑客攻击。发现自己的网站被黑会让人非常沮丧。虽然所有网站都可能成为目标,但你可能在一些方面犯了错误,导致自己的网站更容易被攻击。在这篇文章中,我们将分享 WordPress 网站被黑的主要原因以及如何避免这些错误来保护你的网站。

为什么黑客会瞄准 WordPress?

首先,不仅仅是 WordPress。互联网上的所有网站都容易受到黑客攻击。WordPress 之所以成为常见目标,是因为它是全球最受欢迎的网站构建器,拥有超过 43% 的市场份额,也就是说全球有数亿个网站是用 WordPress 搭建的。

1. 不安全的网络托管

像所有网站一样,WordPress 网站也托管在网络服务器上。有些托管公司未能妥善保护其托管平台,这使得托管在其服务器上的所有网站都容易受到黑客攻击。选择一个好的 WordPress 托管服务提供商可以有效避免这种情况。如果你想采取额外的预防措施,我们推荐使用托管 WordPress 服务提供商。

2. 使用弱密码

密码是你访问 WordPress 网站的钥匙。你需要确保为以下账号使用强而独特的密码,因为它们都可能为黑客提供完全访问你网站的权限:

  • 你的 WordPress 管理员账户
  • 你的网络托管控制面板账户
  • 你的 FTP 账户
  • 你网站使用的 MySQL 数据库
  • 所有用于 WordPress 管理和托管的电子邮件账户

可以通过为每个账户使用独特且强大的密码来轻松避免这个问题。有关如何管理这些强密码的更多信息,请参见我们的密码管理指南。

3. 未保护的 WordPress 管理区域(wp-admin)

WordPress 管理区允许用户在网站上执行不同的操作,也是最常被攻击的区域。你可以通过为管理目录添加身份验证层来增加破解难度。首先,你可以为 WordPress 管理区添加密码保护。你还可以为所有用户强制使用强密码,并添加两因素身份验证(2FA),以增加安全性。

4. 错误的文件权限

文件权限是由你的网络服务器使用的一组规则,帮助控制对网站文件的访问。错误的文件权限可能让黑客写入和更改这些文件。所有 WordPress 文件应该设置为 644 文件权限,所有文件夹应该设置为 755 文件权限。查看我们的指南了解如何修复 WordPress 文件权限问题。

5. 未及时更新 WordPress

一些 WordPress 用户害怕更新他们的网站,担心更新会导致网站出问题。每个新版本的 WordPress 都会修复漏洞和安全问题。不更新 WordPress 就意味着故意让你的网站暴露在风险中。如果你怕更新会破坏网站,可以在更新前创建完整的备份,这样一旦出了问题,可以轻松恢复到之前的版本。

6. 未更新插件和主题

和 WordPress 核心程序一样,更新你的插件和主题也同等重要。使用过时的插件或主题会使你的网站易受攻击。确保你的 WordPress 主题和插件保持最新状态。查看我们的指南了解如何正确更新 WordPress、插件和主题。

7. 使用普通的 FTP 而非 SFTP/SSH

FTP 账户用于通过 FTP 客户端向你的网络服务器上传文件。你应该始终使用 SFTP 或 SSH,而不是普通的 FTP,来连接到你的网站。大多数 FTP 客户端都可以使用 SFTP 和 SSH 进行连接,只需在连接时更改协议即可。

8. 使用“admin”作为 WordPress 用户名

不推荐使用“admin”作为 WordPress 用户名。如果你的管理员用户名是“admin”,你应立即更改为其他用户名。查看我们的教程了解如何更改网站用户名。

9. 使用盗版主题和插件

互联网上有许多网站免费提供付费的 WordPress 插件和主题。使用这些盗版插件和主题非常危险,可能损害你的网站安全,甚至被用于窃取敏感信息。应该始终从可靠来源,如开发者网站或官方 WordPress 仓库下载插件和主题。

10. 未保护 wp-config.php 文件

wp-config.php 文件包含你 WordPress 数据库的登录凭据。如果被黑客获取,可能导致你的网站完全暴露。你可以通过使用 .htaccess 文件拒绝访问 wp-config.php 文件来增加保护。添加以下代码到 .htaccess 文件中:

<files wp-config.php>
order allow,deny
deny from all
</files>

11. 未更改 WordPress 表前缀

许多专家建议更改默认的 WordPress 表前缀。默认情况下,WordPress 使用 wp_ 作为数据库表前缀,安装时可以更改。推荐使用更复杂的前缀,以增加黑客猜测数据库表名称的难度。查看我们的指南了解如何更改 WordPress 的数据库前缀以提高安全性。

清理被黑的 WordPress 网站

清理被黑的网站虽然痛苦,但也是可以完成的。以下是一些资源,可帮助你开始清理被黑的 WordPress 网站:

  • 如何识别你的网站被黑以及如何修复
  • 如何扫描网站以检测恶意代码
  • 如何发现并修复网站中的后门
  • 被锁定在 WordPress 管理区域外该怎么办
  • 如何从备份中恢复 WordPress 网站

额外提示

为了确保万无一失,可以使用 Sucuri 的恶意软件检测和删除服务。Sucuri 还提供网站防火墙,保护你的网站免受最常见的威胁。

总结

希望这篇文章帮助你了解了 WordPress 网站被黑的主要原因及其预防方法。你或许还希望阅读我们的指南,了解如何增加博客流量及提高 WordPress 性能的专家提示。

Share 

Share 0
Share 0
Pin 0
Author Image

Written by

Share 0
Share 0
Share 0
Previous Article
Next Article

Related Posts

  • 2024-10-30
  • WordPress 基础知识

如何在WordPress中嵌入表单(初学者终极指南)

WordPress表单是连接访客和扩展受众的重要工具。无论是联系表单、调查问卷还是反馈表,嵌入到您网站中都是收集访客信息的快速便捷方式。我们在所有项目中都使用表单,从联系页面到新闻订阅甚至结账表单。在过程中,我们学习了嵌入WordPress表单所需的所有步骤,并将从头到尾引导您完成整个过程。

閱讀更多
  • 2024-09-27
  • WordPress 基础知识

如何在 WordPress 多站点中添加超级管理员角色

多年来,我们管理过数个 WordPress 多站点网络。实际操作中我们发现,拥有合适权限来管理所有网站的合适人员,可以极大地提高效率。而这正是超级管理员用户角色发挥作用的地方。然而,在 WordPress 多站点中添加超级管理员用户与在单一站点中添加新用户略有不同。对于初学者来说,这个过程可能有些困惑。文章中,我们将向您展示如何在 WordPress 多站点中添加超级管理员用户角色,提供两个简单的方法,并附加一些关于如何妥善保护 WordPress 多站点的技巧。

閱讀更多
  • 2024-08-25
  • WordPress 基础知识

如何用 AI 制作 WordPress 网站(初学者指南)

人工智能 (AI) 的话题热度不减,许多人开始好奇如何利用人工智能来创建自己的 WordPress 网站。AI 承诺简化网站制作过程,加快创作速度,甚至启发新灵感,但如此多的工具让人无从下手。WPressize Me 经过广泛实验,探索 AI 如何提升 WordPress 体验,从 AI 页面构建器到内容生成器,并在此为您分享发现与方法。

閱讀更多
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>