网站如何被黑客入侵？

作为 WordPress 网站所有者，您已经知道安全性在保护您的操作免受黑客攻击和恶意攻击方面起着重要作用。 但是网站是如何被黑客入侵的呢？ 黑客尝试并经常成功通过攻击摧毁 WordPress 网站的过程是什么？

尽管网络在过去的几十年里取得了长足的发展，但网站被坏人入侵的方式并没有太大变化。 为确保网站和访问者的安全，您应该做的最重要的事情是充分了解这些不变的信任是什么，这样您就可以领先于他们一步。

在这份综合指南中，我们将向您展示网站是如何被黑客入侵的、您的网站被黑客入侵的迹象，等等。 让我们来看看。

被黑网站的大规模

现在有超过 12 亿个（带有 B）的网站构成了当今版本的万维网。 如果您假设平均 3 秒的网站加载时间，那么您将花费 160 多年的时间来访问现有的每个网站，而不需要一秒钟的休息时间。

那是一个非常庞大的网络，任何个体实体都完全不可能安全地监视它。 尽管像谷歌的安全浏览这样的服务确实试图警告其用户有关可能不安全的网站。 目前，它每天向用户发送超过 300 万条此类警告。

这大约是洛杉矶和纽约市人口的总和。

简而言之，网站将永远是不怀好意的人的巨大目标。 任何黑客攻击的整体影响都将对您的业务造成毁灭性的影响。

但有好消息。

尽管存在有害且持续存在的巨大威胁，但我们对我们的认识，再加上使用正确的工具，将大大有助于确保我们的网站免受攻击。

网站如何被黑客入侵？ 三种主要方式

在互联网的过去三年中，我们看到黑客几乎总是落在三个不同的类别中：

1. 访问控制
2. 软件漏洞
3. 第三方集成

现实情况是，无论您是为财富 500 强或当地的鞋店运营网站，黑客使用他们的技术的方式看起来几乎相同。

但不同的是，每家企业最初是如何让自己被利用的。

• 大型组织经常使用这样的借口说，“我们认为其他人正在处理安全问题。” 这种类型的迷雾和沟通不畅在大型、复杂的组织中很常见。
• 小型企业通常认为它们太小，任何黑客都无法瞄准。 他们经常错误地假设黑客不会碰他们。 这使得人们很容易忽视即使是最小的网站也能真正获取多少私人信息。

在这两种情况下，黑客都有动机和工具在安全性不够警惕的领域实现他们的目标。

网站环境有很多活动

在深入了解每种 hack 的规范之前，让我们首先为 Web 的实际工作方式奠定一个非常重要的基础。

每个网站都依赖于一系列相互关联并协同工作的系统。 有一些组件，例如 DNS（域名服务器）、Web 服务器，以及容纳各种服务器并将它们连接到 Internet 的基础设施。

即使这听起来相对简单，但底层的生态系统却相当复杂。

许多单独的组件由专业服务提供商提供。 即使您从单个服务提供商处获得许多不同的服务，等式中仍有无数独特的部分可以自行发挥作用。

将您的网站想象成现代消费车辆。 在外面，它看起来坚固而流线型，但在下面有无数的活动部件，使它一切正常。

出于本指南的目的，您了解有关您的网站如何运作的所有详细信息并不重要。 但重要的是要知道这些单独的组件中的每一个都会影响您的整体 WordPress 网站安全。

他们每个人都有可能为您的网站被黑客入侵做出贡献。

1.访问控制

这特别涉及授权和身份验证的过程。 简单地说，访问控制就是您登录 WordPress 网站的方式。

这不仅仅是您登录网站管理面板的方式。 正如我们已经建立的那样，有许多不同的互连登录在您网站的幕后协同工作。

在考虑访问控制时，您需要考虑六个特定领域。

你怎么：

• 登录您的主机面板？
• 登录服务器（SSH、SFTP、FTP）？
• 登录您的网站？
• 登录您的个人电脑？
• 登录社交媒体平台？
• 为这些变量中的每一个存储您的用户名和密码凭据？

忽视访问控制太容易了。 但是，每个单独的接入点都可以让黑客访问您的整个生态系统。

黑客还将使用多种不同的策略来访问单个不安全的登录点。 把它想象成一个窃贼检查每个潜在的入口，然后偷偷（或诱骗）你的家庭密码或钥匙的副本。

• 蛮力攻击是最容易实施的，也是最有效的入侵方式。通过蛮力攻击，黑客会尝试猜测潜在的用户名和密码组合，以努力以可靠的站点用户身份登录。
• 社会工程攻击越来越受欢迎。 黑客构建了旨在诱骗用户自愿输入其 ID 和密码组合的网络钓鱼页面。
• 跨站点脚本(XSS) 和跨站点请求伪造 (CSRF) 攻击涉及通过用户浏览器拦截用户的登录凭据。
• 中间人（MITM）攻击也被使用。 有了这个，当用户在不完全安全的网络上工作时，用户的用户名和密码很容易被截获。
• 监控用户的键盘记录器和其他恶意软件将跟踪输入，然后将其报告给感染用户的黑客。

但无论实施何种类型的攻击，黑客的目标始终相同：通过可信登录直接访问您的站点。

无论采用何种攻击方式，目标都是一样的：通过登录获得直接访问权限。

iThemes Security 插件为您的用户安全增加了更多保护。 您网站的安全性取决于您的用户使用强密码进行安全登录。 这就是 iThemes Security 为用户提供多层安全性的原因，包括双重身份验证、具有会话劫持保护的受信任设备、验证用户身份的无密码登录以及密码泄露保护。 您甚至可以运行用户安全检查来快速审核和修改用户安全中最关键的元素。

iThemes Security 添加的下一层安全性是保护您网站中受攻击最多的部分，即 WordPress 登录屏幕。 iThemes Security 提供两种类型的蛮力保护来监视对您的网站进行的无效登录尝试。 一旦用户或机器人连续进行过多的无效登录尝试，他们将被锁定，并且将被阻止在设定的时间段内进行任何更多尝试。

2. 软件漏洞

实际上，如果没有软件开发人员向他们推荐的补丁，绝大多数 WordPress 网站所有者都无法解决当今软件中的安全漏洞。 问题是许多开发人员没有考虑到他们编写的代码给您的站点带来的威胁。

一个不会显着影响预期 UX（用户体验）的小错误可以被利用来使软件做它不打算做的事情。 最有经验的黑客将这些漏洞视为潜在漏洞。

他们这样做的最常见方法之一是使用格式错误的 POST 标头或格式错误的统一资源定位器 (URL) 来发起许多不同的攻击。

这些包括：

• 远程代码执行 (RCE)，允许完全远程接管目标站点和系统
• 远程/本地文件包含 (R/LFI)，它使用用户在字段中提供的输入将恶意文件上传到系统中
• SQL 注入 (SQLi)，它使用恶意代码操纵文本输入字段，将攻击序列发送到服务器

与资产控制类似，软件中的漏洞超出了网站的范围。 这些漏洞可以在网站所依赖的每一种互连技术中被发现和利用。

而目前大多数网站都混合使用第三方扩展，例如 WordPress 插件和主题，这些都是潜在的黑客入侵点。

因为易受攻击的插件、主题和 WordPress 核心版本是您网站的最大安全风险，所以 iThemes Security 开始扫描您的网站。 使用 iThemes 安全站点扫描，您将知道您站点上的插件、主题或 WordPress 核心版本每次易受攻击并需要更新。 甚至更好……它会自动为您运行更新。 Site Scan 由可用的最全面的漏洞数据库提供支持，因此您将始终获得最新的保护。 Site Scan 还与 Google Safe Browsing 集成，以检查您网站的黑名单状态以及任何已知的恶意软件或可疑文件。

以下是 iThemes Security 的站点扫描如何保护您的站点：

• 每天两次扫描您的网站以查找漏洞——您网站的插件、主题和 WordPress 核心版本会根据 WPScan 漏洞数据库检查最新的漏洞披露。
• 如果有可用的安全修复程序，则自动更新- 与版本管理配合使用时，iThemes Security 将在存在漏洞时自动更新插件、主题或 WordPress 核心版本。
• 如果站点扫描检测到漏洞，则向您发送电子邮件– 如果您的站点运行的插件、主题或 WordPress 核心的易受攻击版本，您会收到电子邮件报告。 自定义接收扫描结果的电子邮件地址。

3. 第三方服务和集成

最后，还有通过第三方服务和集成发生的漏洞利用。

大多数情况下，这些将通过导致恶意广告攻击的广告网络采取广告的形式。

这些黑客将涉及您与您的网站和托管一起使用的服务，包括您的 CDN（内容分发网络）等变量。

第三方集成和服务在站点管理体验的不同部分之间提供了足够的互连。 事实上，这是人们喜欢 WordPress、Drupal 和 Joomla 等可扩展内容管理系统选项的原因之一。

但这种相互联系也为黑客提供了利用点。

最大的问题之一是黑客如何以网站所有者无法控制的方式利用这些服务和集成。 作为网站建设者或管理员，当您选择使用其中一个集成时，您对第三方提供商非常信任。

而且，当然，许多人都在努力保护他们的集成。

但与其他事物一样，存在固有风险。 这是黑客一直关注的问题。

iThemes Security 保护第三方访问的方法之一是使用 XML-RPC 和 REST API 的安全应用程序密码。 此更新允许对 REST API 请求使用用户名/密码身份验证，因此您可以锁定 REST API（根据我们的建议），同时仍允许使用 REST API 的外部工具进行连接。

保护您的网站免受黑客攻击

WordPress 网站安全很重要。 WordPress 网站安全性的很大一部分是教育和意识。 只需阅读本指南，您就可以更好地保护您的网站。

展望未来，您需要采取一些具体步骤。 我们的目标是帮助您实现这些目标。 不幸的是，只有在出现问题之后，如此多的网站所有者才最终认真对待安全问题。

相反，为什么不超越痛苦并采取以下步骤让您远离痛苦：

1. 使用纵深防御原则。 这涉及像洋葱一样构建安全层。 每种做法都使黑客更难进入您的生态系统。
2. 利用最小特权的最佳实践。 确保限制每个站点用户的登录允许他们执行的操作。
3. 尽可能创建两因素身份验证和多因素身份验证。 这将进一步保护那些特定的用户接入点。
4. 使用网站防火墙。 这将在限制黑客如何尝试利用软件漏洞方面产生奇迹。
5. 定期安排备份。 下载并安装 BackupBuddy WordPress 备份插件作为您的解决方案。 这样，如果您的网站遭到黑客入侵，您只需点击几下即可将其恢复。
6. 获取主要搜索引擎的视角。 Bing Webmaster Tools 和 Google Search Console 都提供了关于他们如何查看您网站的安全性的有用报告。

作为 WordPress 网站所有者，覆盖这些安全基础的最佳方法是使用 iThemes Security Pro 插件。

然后了解没有万无一失的方法可以始终保持 100% 的安全。 您在网站环境中使用的工具将显着降低您的整体风险。 但安全不是单一的行动或事件。 这是一系列动作。

这一切都始于像 iThemes Security Pro 这样的出色工具，它将帮助您了解如何最好地保护您的网站。

既然您知道要做什么以及要寻找什么，那么您无疑会遇到我们在本指南中介绍的安全场景之一。 但是现在，您会更好地知道如何解决问题。

保护和保护 WordPress 的最佳 WordPress 安全插件

WordPress 目前为超过 40% 的网站提供支持，因此它已成为恶意黑客的轻松目标。 iThemes Security Pro 插件消除了 WordPress 安全性的猜测，使保护您的 WordPress 网站变得容易。 这就像拥有一个全职的安全专家，他们不断地为您监控和保护您的 WordPress 网站。

获取 iThemes 安全专业版

克里斯汀·赖特

Kristen 自 2011 年以来一直在编写教程来帮助 WordPress 用户。作为 iThemes 的营销总监，她致力于帮助您找到构建、管理和维护有效 WordPress 网站的最佳方法。 克里斯汀还喜欢写日记（看看她的业余项目，转型之年！）、远足和露营、有氧运动、烹饪以及与家人的日常冒险，希望过上更真实的生活。