不论是大型网站还是小型的个人网站,网络黑客攻击的时间一直时有发生,作为网站的建设者,我们需要保持警惕并确保您的网站不易被黑客入侵。在本文中,raksmart美国服务器分享了5个可能会增加WordPress网站被攻击的风险的因素,以及应该如何针对性地去保护在网站免受攻击。
1.从不更新WordPress
如果说被攻击的WordPress网站有什么共同点,那么八成都是从不更新WordPress的。根据Sucuri 的黑客网站报告,大约 55-61% 的 WordPress 黑客受害者在被感染时运行的是过期的 WordPress,这绝对不是巧合。推荐阅读:《被黑客攻击后如何恢复网站》
WordPress默认是自动更新的,但是有些主机会禁用该功能,所以我们还是需要定期检查WordPress的版本更新。
通常不更新WordPress的人群可以分为两类:
1.完全是因为懒或者没有时间
2.担心更新网站会损坏网站
如果你是前者,那么请停止拖延,因为WordPress更新完全不需要你做什么多余操作,只需要几分钟就能完成。如果是后者,可以在更新前将网站进行备份,即使出现了问题,也可以随时恢复到更新前的版本。如果你想更主动地检查更新问题,你可以创建一个临时站点来测试更新,或者选择一个提供临时功能的WordPress 主机。
2.从不更新插件
和WordPress版本一样,插件的更新也十分重要,长期使用过期插件且不进行更新,实际上是在将自己暴露在安全漏洞和bug中。Sucuri 的研究数据表名,18% 的 WordPress 黑客受害者只是因为没有更新具有已知漏洞的插件而被黑客入侵。插件开发人员知道存在问题并进行了修复,而这部分人们是没有更新插件来保护他们的网站!
此外,在Wordfence对 WordPress 黑客受害者的调查中,超过 55% 的人表示这是因为插件问题。推荐阅读:《如何清理被黑客入侵的机器》
如果你有大量插件并且发现很难跟踪所有更新,建议使用 Wordfence这个插件,它附带一个恶意软件扫描程序,可以检查您的其他插件是否存在恶意软件、不良 URL、后门、SEO 垃圾邮件、恶意重定向和代码注入。当你使用的插件被关闭或放弃时,它还会提醒你关注潜在安全问题。
3. 不保护 WordPress 管理目录
在同一个调查中显示,暴力攻击破解密码也是常见的攻击方式之一。
为了防止这种情况发生,我们需要保护好WordPress的管理目录,也就是/wp-admin目录。
首先,我们知道,我们在登录WordPress的仪表盘时是需要一个密码的,我们可以给这个目录加上一层密码,这样,任何试图访问你的 WordPress 管理员的人都需要提供额外的用户名和密码。
如果您不喜欢这种方法,另一个不错的选择是双因素身份验证。
最后但同样重要的是,使用“admin”作为您的 WordPress 用户名并不是一个好主意。黑客可能会尝试使用此默认用户名进入您的网站,因此最好是更换其他的用户名。
4.使用弱密码
这一点很好理解——如密码强度较低,黑客就更容易访问你的帐户。
不过,我们不仅仅是在谈论 WordPress 管理员帐户的密码。
这同样适用于您的其他密码,包括你的:
虚拟主机帐户
FTP 帐户
MySQL数据库
与 WordPress 管理员帐户关联的电子邮件帐户
此外,一些主机是允许主机帐户使用双重身份验证,如果可以的话,建议开启,可以有效的给你的网站再加一层保护。
5.使用盗版或者风险主题
我们知道,WordPress的主题非常丰富多样,随便一百度就会发现很多主题,其中不乏一些付费主题的破解版,对于预算有限的站长来说,这可能非常的有吸引力,但是天下没有免费的午餐,破解版的软件中很有可能留有后门或者漏洞,且没有开发者的定期维护,风险指数是非常高的。推荐相关阅读:《如何防止社交媒体服务器上的黑客攻击》
