
WordPress約佔所有網站的25%-30%,數量之龐大使WordPress網站更容易受到各種常見的黑客攻擊。
首先,你為什麼要關心和為什麼有人想特別攻擊你的網站(即使它可能是一個相對較小的網站)?
為了回答這個問題,讓我們來看看Wordfence團隊在研究黑客攻擊WordPress網站所做的事情時發現:
事實證明,黑客攻擊WordPress網站,約55%的比例是為了使用該網站伺服器傳送垃圾郵件,黑帽SEO或執行惡意重定向。
且還有另外一個共同點,小型的WordPress網站更加容易被拿下(因為防禦措施做得不夠)。
例如,如果一個黑客設法在WordPress中找到某個洞並佔用超過10,000個小站點,這就為他們提供了一個龐大的黑帽SEO網路。
這意味著每個WordPress網站都有風險,無論你的WordPress網站的大小。
最常見的WordPress黑客攻擊
WPTemplate.com另一項研究發現,最常見的WordPress黑客攻擊和入侵點是:
- 伺服器漏洞 – 佔41%,
- 主題 – 29%,
- 外掛 – 22%,
- 弱密碼 – 8%。
以下是如何避免它們:
1. 伺服器漏洞
如果您的網路託管伺服器有不安全的記錄並且容易出現常見的WordPress黑客攻擊,那麼除了使用更安全的替代方案之外,你別無選擇。
如果你考慮做一個面向國外訪客的WordPress網站,以下伺服器供應商是個不錯的選擇:
2. 不安全的主題
保護自己免受任何與主題相關的漏洞的最佳方法是,不要隨便下載破解的WordPress主題,儘可能選擇信得過的WordPress主題開發商,又或者通過WordPress主題市場下載。
3. 外掛漏洞
如上所述,外掛漏洞是WordPress黑客攻擊的第三大常見罪魁禍首。
但問題實際上更復雜,因為由於外掛漏洞可以執行更多的單獨攻擊。
例如,您可能成為以下內容的受害者:包含攻擊檔案,SQL隱碼攻擊,跨站點指令碼(XSS),後門攻擊等等。
不幸的是,這裡沒有一種適合所有型別的解決方案,這是因為每個人同時執行大量的外掛,而不像主題,你只有一個。
避免這種攻擊的最好方法是閱讀像Sucuri這樣的部落格,即使只是標題而不是實際的帖子。 Sucuri是一家以WordPress安全領域著稱的公司,他們在發現外掛和常見WordPress黑客攻擊中的新漏洞方面做得非常出色。
簡而言之,如果有一天他們警告您在您的網站上執行的外掛存在問題,請將其停用並等待版本更新。
4. 密碼相關問題
接下來,是與密碼相關的各種問題。
但是,這些不僅僅是因為弱密碼,而且還涉及其他破壞安全密碼的漏洞。
a) 弱密碼
明智的做法是每當設定新使用者帳戶時,只使用安全和複雜的密碼。 否則,密碼暴力破解只需要幾秒鐘即可獲得你的賬號許可權。
您還可以依據Force Strong Passwords外掛建議來設定密碼。
其實上只要你使用不含任何常見單詞及你的賬號名稱的混合大小寫字母、數字及符號的不少於8位的字串充當你的密碼,一般是安全的,比如2Aql&x91*M1x。
b) 登陸頁面攻擊
預設的WordPress登入頁面是眾所周知的……通常是YOURSITE.com/wp-login.php
因此,各種機器人直接進入該頁面並嘗試用暴力或其他方法破解密碼。
以下是您可以做的事情:
- 使用Login LockDown外掛限制登入嘗試。
- 使用 Duo Two-Factor Authentication 外掛啟用二步驗證. (賬號密碼+簡訊的方式)
- 通過Jetpack的安全功能模組啟用強力保護功能。 (自3.4.1版本以來,由於Jetpack收購了優秀的BruteProtect外掛,增加增強保護功能。)
5. 本地電腦
很簡單,如果您用來訪問您網站的計算機不安全,那麼上述所有策略都顯得蒼白無力。
基本上,無論何時您訪問網站的wp-admin工作,若你的電腦本身存在安全漏洞,那麼你通過wp-admin操作都暴露給別有用心的“病毒”。因此,你必須保證你的電腦更新到最新版本的系統及最好給電腦安裝一款防毒軟體。
如果您對常見的WordPress黑客攻擊有任何疑問和建議,留言與大家一起分享!
評論留言