成立19年后,WordPress仍然是万维网上最受欢迎和使用最广泛的内容管理系统之一。从数字上看,超过60%的互联网网站是基于WordPress构建的!
这种流行带来了许多优势,例如庞大的开发人员社区、广泛的工具以及大量的教程和指南。但它也有一些缺点。其中之一是对黑客攻击的敏感性增加。
黑客喜欢攻击WordPress。事实上,黑客攻击的所有基于CMS的网站中有83%是建立在WordPress上的。他们喜欢寻找漏洞来利用。不幸的是,WordPress有一些这样的漏洞。
在本文中,我将介绍八个常见的WordPress漏洞,并解释如何缓解每个漏洞。请随意使用下面的链接跳转到每个漏洞部分。
糟糕的托管环境随机主题和插件过时的插件和主题弱密码恶意软件注入网络钓鱼拒绝服务攻击跨站点脚本(XSS)1。糟糕的托管环境主机是互联网上的服务器计算机,用于存储支持您网站的文件。如果你想通过互联网访问你的WordPress网站,你必须把它放在一个网络主机上。
WordPress网站被黑客攻击的主要原因之一是糟糕的托管环境。根据金斯塔的说法,这一数字约为41%。因此,WordPress网站近一半的黑客攻击是由糟糕的托管环境引起的。
从上面的统计数据中,您可以得出结论,使用信誉良好且安全的托管提供商将自动大大降低您的网站被黑客攻击的概率。
WordPress网站的一些顶级托管提供商包括SiteGround、WP Engine、Hostinger和Bluehost。在为您的网站选择托管提供商之前,请确保进行彻底的研究,以了解他们的服务质量和客户满意度。
2.随机主题和插件WordPress主题决定了网站的外观,而插件则用于为网站添加额外的功能。两者都是文件的集合,包括PHP脚本。
因为主题和插件是由代码组成的,所以它们可能充满错误。这是黑客用来非法访问受影响的WordPress网站的一种非常流行的方法。
事实上,根据Kinsta的数据,52%的漏洞与插件有关,11%的漏洞由主题引起。
黑客可以在主题或插件中插入恶意代码,并在互联网上发布到市场上。如果它被不知情的用户安装在WordPress网站上,网站将自动损坏,而所有者通常不知道这一点。
避免这些问题的最好方法是只安装来自可信和可靠来源的主题和插件。
3.过时的插件和主题除了避免随意使用插件和主题之外,您还应该保持WordPress网站上安装的插件和主题保持最新。
这是因为黑客经常搜索已知存在漏洞的特定主题或插件(或特定版本)。然后他们会寻找使用此类主题或插件的网站,并试图破解它们。如果成功,他们可以在网站上执行有害操作,例如在数据库中查找数据,甚至将恶意内容注入网站。
要从管理面板访问已安装的主题,请导航到边栏上的外观》主题。要访问插件,请导航至插件》已安装的插件。
通常,当你需要更新网站上使用的任何主题或插件时,你会在WordPress仪表盘中收到提醒通知。除非有充分的理由,否则不要忽视这些警报。
4.带有弱密码和容易猜测的登录凭证是黑客访问WordPress后端最简单的方式之一。大约8%的WordPress网站因密码组合薄弱或密码被盗而遭到黑客攻击。
黑客经常使用暴力脚本在尽可能多的WordPress网站上反复测试常用用户名和密码组合。他们这样做,直到他们找到一个匹配,然后登录到目标网站,并向其他黑客转售凭据。
因此,您应该始终避免使用术语用户、管理员、管理员和用户1作为您的登录用户名。相反,创建一个不太常见且更具个性化的用户名。
要创建强而安全的密码,请记住以下规则:
绝不使用个人信息(姓名、生日、电子邮件等。).创建一个更长的密码。尽可能让你的密码晦涩难懂、毫无意义。不要使用常用词。包含数字和特殊字符。切勿重复密码。为了保护您的网站,您必须在首次设置WordPress时指定一个强用户名和密码组合。
此外,你应该设置双因素认证(2FA),为你的WordPress网站增加另一层安全保护。
最后,考虑使用安全插件,如Wordfence或Sucuri Security,以防止暴力攻击(和其他恶意攻击)访问您的WordPress网站。
5.恶意软件注入恶意软件是一种恶意软件,黑客可以将其插入您的网站并在他们想要执行计划时执行。
恶意软件可以通过多种方式插入。它可以通过WordPress网站上格式良好的评论这样简单的事情来注入,也可以通过在服务器上上传可执行文件这样复杂的事情来注入。
在最好的情况下,恶意软件不会导致任何问题,并且可能执行一些无害的操作,例如向客户显示产品广告。在这种情况下,您可以使用诸如Wordfence Security之类的恶意软件扫描程序插件来删除恶意软件。
然而,在极端情况下,恶意软件将在服务器上执行危险的操作,这可能导致数据库中的数据丢失或类似的后果,例如在WordPress网站上创建帐户。
解决这种最坏的情况通常需要从干净的备份中恢复您的网站,然后找出黑客如何进入您的系统并修复漏洞。这就是为什么定期备份网站非常重要的原因。
6.网络钓鱼在网络钓鱼攻击中,攻击者发送的电子邮件地址似乎来自您的服务器。攻击者通常要求您网站的用户或客户单击某个链接来执行某些操作。用户可能会这样做,但他们不知道它实际上不是来自您的服务器。
网络钓鱼攻击有许多不同的风格,包括猫式网络钓鱼、鱼叉式网络钓鱼等。无论何种类型,网络钓鱼总是涉及伪造的(但看似原始的)电子邮件地址和指向恶意页面的链接。
攻击者通常会显示一个伪造的表单,该表单看起来与您网站的真实登录表单相同。如果用户不及时跟进,他们可能会向恶意网站提交一个或多个不同的登录凭据。
因此,黑客现在拥有不同的用户名和密码来猛烈攻击其他网站,并拥有准确的登录凭据来访问用户的后端。
由于电子邮件的原始设计,很容易伪造电子邮件的“发件人”地址,这使得网络钓鱼攻击更加难以阻止。
然而,如今诸如SPF、DKIM和DMARC等技术使电子邮件服务器能够检查电子邮件的来源并验证源域。只要这些设置正确,所有网络钓鱼电子邮件都将被收件人服务器检测到并标记为垃圾邮件或从用户的收件箱中完全删除。
如果您不确定SPF、DKIM和DMARC设置是否正确,请咨询您的网络托管服务提供商。大多数顶级网络主机都有关于如何设置这些内容的简单说明。
7.拒绝服务攻击(DoS和DDoS)当犯罪分子向网站服务器发送大量错误请求,使服务器无法处理合法用户的正常请求时,就会发生拒绝服务攻击。
在WordPress中,缓存服务可以帮助缓解DDoS攻击。您可以使用网站上的WP Fastest Cache等WordPress插件来检查DDoS攻击。此外,大多数顶级主机在其基础架构中都内置了DDoS缓解系统。
8.跨站脚本(XSS)跨站脚本攻击是另一种代码注入攻击,它类似于我们以前知道的恶意软件注入。
然而,在XSS攻击中,攻击者会将恶意客户端脚本(JavaScript)注入网站首页供浏览器执行。
攻击者可能会利用这个机会冒充您网站的访问者(使用他们的数据)或将他们发送到他们创建的另一个恶意网站以欺骗用户。
防止WordPress网站受到XSS攻击的最有效方法之一是安装一个强大的防火墙插件(如Sucuri),你也可以用它来扫描网站的XSS漏洞。
结论为了确保您的WordPress网站的安全性,您需要采取主动措施来找到攻击者可以利用的漏洞。在本文中,我们介绍了八个漏洞并针对每个漏洞提供了解决方案。
请记住,减轻WordPress网站漏洞的最佳方法是保持网站的所有组件保持最新。这包括插件、主题,甚至WordPress本身。不要忘记升级你的PHP版本。
以上是解决WordPress常见问题和漏洞的8种方法的详细信息。更多内容请关注草根吧VPS其他相关文章!