5 个常见的 WordPress 安全问题

已发表: 2021-01-27

如果您拥有一个 WordPress 驱动的网站或正在考虑使用 WordPress 作为您的 CMS,您可能会担心潜在的 WordPress 安全问题。 在这篇文章中,我们将概述一些最常见的 WordPress 安全漏洞,以及您可以采取哪些步骤来保护您的 WordPress 网站。

WordPress 安全吗?

“WordPress 安全吗?”这个问题的答案。 这取决于只要遵循 WordPress 安全最佳实践, WordPress 本身就非常安全。

根据 W3Techs 对内容管理系统数据的最新使用情况,WordPress 为所有网站提供 34% 的折扣。 因此,WordPress 安全漏洞是不可避免的,因为并非所有用户对他们的网站都小心、彻底或具有安全意识。 如果黑客可以找到进入网络上数亿个 WordPress 网站之一的方法,他们就可以扫描其他网站,这些网站也运行着旧版或不安全版 WordPress 的不安全设置,并对其进行黑客攻击。

WordPress 在开源代码上运行,并且有一个团队专门致力于发现、识别和修复核心代码中出现的 WordPress 安全问题。 随着安全漏洞的披露,我们会立即推出修复程序,以修补 WordPress 中发现的任何新安全问题。 这就是为什么将 WordPress 更新到最新版本对您网站的整体安全性非常重要的原因。

重要的是要注意 WordPress 安全漏洞超出 WordPress 核心扩展到您在站点上安装的主题或插件。 根据 wpvulndb.com 最近的一份报告,他们的数据库中有 2,837 个已知的 WordPress 安全漏洞:

  • 75% 来自 WordPress 插件
  • 14% 来自核心 WordPress
  • 11% 来自 WordPress 主题

WordPress 安全问题

5 个常见的 WordPress 安全问题

最常见的 WordPress 安全问题发生在您的网站遭到入侵之前或之后。 黑客的目标是在管理员级别从前端(您的 WordPress 仪表板)或服务器端(通过插入脚本或恶意文件)获得对您的 WordPress 站点的未经授权的访问。

以下是您应该了解的 5 个最常见的 WordPress 安全问题:

1. 蛮力攻击

WordPress 蛮力攻击是指反复输入多个用户名和密码组合直到发现成功组合的反复试验方法。 蛮力攻击方法利用最简单的方法来访问您的网站:您的 WordPress 登录页面。

默认情况下,WordPress 不限制登录尝试,因此机器人可以使用暴力攻击方法攻击您的 WordPress 登录页面。 即使蛮力攻击不成功,它仍然可能对您的服务器造成严重破坏,因为登录尝试可能会使您的系统过载并减慢您的网站速度。 当您受到蛮力攻击时,由于系统过载,某些主机可能会暂停您的帐户,尤其是当您使用共享主机计划时。

2. 文件包含漏洞

在暴力攻击之后,WordPress 网站的 PHP 代码中的漏洞是攻击者可以利用的下一个最常见的安全问题。 (PHP 是运行 WordPress 网站以及插件和主题的代码。)

当使用易受攻击的代码加载允许攻击者访问您网站的远程文件时,就会发生文件包含漏洞。 文件包含漏洞是攻击者可以访问 WordPress 网站的 wp-config.php 文件的最常见方式之一,该文件是 WordPress 安装中最重要的文件之一。

3. SQL 注入

您的 WordPress 网站使用 MySQL 数据库进行操作。 当攻击者访问您的 WordPress 数据库和您的所有网站数据时,就会发生 SQL 注入。

通过 SQL 注入,攻击者可能能够创建一个新的管理员级用户帐户,然后可以使用该帐户登录并获得对 WordPress 网站的完全访问权限。 SQL 注入还可用于将新数据插入到您的数据库中,包括指向恶意或垃圾邮件网站的链接。

4. 跨站脚本(XSS)

整个互联网上 84% 的安全漏洞被称为跨站点脚本或 XSS 攻击。 跨站脚本漏洞是 WordPress 插件中最常见的漏洞。

Cross-Site Scripting 的基本机制是这样工作的:攻击者找到一种方法让受害者加载带有不安全 javascript 脚本的网页。 这些脚本在访问者不知情的情况下加载,然后用于从他们的浏览器窃取数据。 跨站点脚本攻击的一个示例是似乎驻留在您网站上的被劫持的表单。 如果用户将数据输入到该表单中,则该数据将被盗。

5. 恶意软件

恶意软件是恶意软件的简称,是一种用于未经授权访问网站以收集敏感数据的代码。 被黑的 WordPress 网站通常意味着恶意软件已注入您网站的文件中,因此如果您怀疑网站上存在恶意软件,请查看最近更改的文件。

尽管网络上有数以千计的恶意软件感染类型,但 WordPress 并非全部都容易受到攻击。 四种最常见的 WordPress 恶意软件感染是:

  • 后门
  • 路过式下载
  • 制药黑客
  • 恶意重定向

通过手动删除恶意文件、安装新版本的 WordPress 或从以前未受感染的备份中恢复 WordPress 站点,可以轻松识别和清除这些类型的恶意软件中的每一种。

是什么让您的 WordPress 网站容易受到 WordPress 安全问题的影响?

有几个因素会使您的 WordPress 网站更容易受到成功攻击。

1. 弱密码

使用弱密码是您可以轻松避免的最大安全漏洞之一。 您的 WordPress 管理员密码应该很强,包括多种类型的字符、符号或数字。 此外,您的密码应特定于您的 WordPress 网站,不得用于其他任何地方。

想知道您的密码是否已被泄露? iThemes Security 插件会检查您的密码是否出现在数据泄露事件中。 数据泄露通常是一个用户名、密码列表以及在网站遭到入侵后暴露的其他个人数据。 使用拒绝泄露密码设置,您可以拒绝泄露密码并强制用户使用没有出现在 Have I Being Pwned API 跟踪的任何密码泄露事件中的密码。

2. 不更新 WordPress、插件或主题

简而言之:如果您在网站上运行过时版本的 WordPress、插件和主题,您就有遭受攻击的风险。 版本更新通常包含针对代码中安全问题的补丁,因此始终运行 WordPress 网站上安装的所有软件的最新版本非常重要。

更新一旦可用,就会出现在您的 WordPress 仪表板中。 练习运行备份,然后在每次登录 WordPress 站点时运行所有可用更新。 虽然运行更新的任务可能看起来不方便或令人厌烦,但这是一项重要的 WordPress 安全最佳实践。

wordpress 插件更新

如果您管理多个 WordPress 网站,您可以使用 iThemes Sync Pro 等省时工具来更好地管理更新。 无需登录到每个单独的站点,而是为您提供一个仪表板,从一个位置管理多个 WordPress 站点的更新。

3. 使用来自不可信来源的插件和主题

编写不当、不安全或过时的代码是攻击者利用您的 WordPress 网站的最常见方式之一。 由于插件和主题是安全漏洞的潜在来源,因此作为安全最佳实践,仅从信誉良好的来源(例如 WordPress.org 存储库或已开展业务的优质公司)下载和安装 WordPress 插件和主题. 此外,避免盗版或种子下载的高级主题和插件的“免费”版本,因为这些文件可能已被更改为包含恶意软件。 这些“免费”插件和主题的成本可能是以您网站的安全性为代价的。

4. 使用劣质或共享主机

由于您的 WordPress 网站所在的服务器是攻击者的目标,使用劣质或共享主机会使您的网站更容易受到攻击。 尽管所有主机都采取预防措施来保护其服务器,但并非所有人都如此警惕或实施最新的安全措施来保护服务器级别的网站。

共享主机也可能是一个问题,因为多个网站存储在单个服务器上。 如果一个网站遭到黑客攻击,攻击者还可能获得对其他网站及其数据的访问权限。 虽然使用 VPS 或虚拟专用服务器更昂贵,但它可以确保您的网站存储在自己的服务器上。

通过 10 个关键提示了解有关 WordPress 安全性的更多信息。 立即下载电子书: WordPress 安全指南
现在就下载

您今天可以采取的 8 项措施来保护您的 WordPress 网站

1. 为每个在线帐户使用强密码。

如果您当前使用的密码少于 6 个字符,请立即更改。 如果您当前在多次登录时使用密码,请立即更改。 如果您使用相同的密码超过六个月,请立即更改。 如果您要为多个在线帐户重复使用密码,请立即更改。

开始练习良好的 WordPress 密码安全性,特别是如果您是管理员用户。 为了使密码管理更容易,请使用密码管理器,例如 LastPass。

2. 安装 WordPress 安全插件。

使用 WordPress 安全插件是在 WordPress 网站上采取额外安全措施的好方法。 iThemes Security 提供一键式 WordPress 安全检查,可激活最重要和推荐的 WordPress 安全设置。 一个好的 WordPress 安全插件可以处理您站点安全性的更多技术方面,因此您不必成为安全专家即可使用它。

查看 iThemes Security,了解 30 多种在一个易于使用的插件中保护您的网站的方法。 使用 iThemes Security,您还可以使用实时 WordPress 安全仪表板监控站点的安全活动。

3. 启用 WordPress 双重身份验证。

双因素身份验证为您的 WordPress 登录增加了一层额外的保护。 除了您的密码外,还需要其他设备(例如您的智能手机)提供额外的时间敏感代码才能登录。 双因素身份验证是锁定 WordPress 登录的最佳方法之一,并且几乎完全减少了成功的蛮力攻击的可能性。

使用 iThemes Security Pro 插件激活 WordPress 两因素身份验证。

4. 保持您的 WordPress 网站更新。

再次重申:保持 WordPress 网站更新是避免潜在 WordPress 安全问题的最佳方法之一。 立即登录您的 WordPress 站点并运行 WordPress 核心、您的主题或插件的任何可用更新。 如果您使用的是高级 WordPress 插件或主题,请确保您拥有当前许可证,以确保您获得更新而不是运行过时的版本。

使用 iThemes Sync Pro 从一个中央仪表板管理多个 WordPress 站点。 在这里免费试用 30 天。

5. 在您的服务器上设置适当的权限。

确保对服务器上的所有目录设置了适当的权限。 适当的权限决定谁有权读取文件、创建和编辑文件。

使用 iThemes Security Pro 查看 WordPress 文件权限的状态。

6. 运行预定的恶意软件扫描。

通过计划的恶意软件扫描密切关注潜在的恶意软件感染。 大多数服务,例如 iThemes Security Pro 插件中提供的恶意软件扫描,都会为您提供有关您网站的恶意软件状态以及其他几个黑名单状态的报告。

使用 iThemes Security Pro 中的 WordPress 恶意软件扫描功能。

7. 有一个可靠的 WordPress 备份计划。

拥有 WordPress 备份计划是 WordPress 安全策略的重要组成部分。 设置计划备份以运行并确保您将备份安全地异地发送到安全的远程 WordPress 备份位置。 此外,请确保您的备份策略具有还原组件,以防您需要从干净的备份中还原您的站点。

使用 WordPress 备份插件 BackupBuddy 进行实时 WordPress 备份。

8. 激活 WordPress 蛮力保护。

保护自己免受暴力攻击是减少任何潜在漏洞或服务器过载的另一种方法。 使用包含本地和网络暴力破解保护的服务来禁止试图闯入其他站点的用户也闯入您的站点。

提示:使用 iThemes Security Pro 的 WordPress 强力保护。

立即获取 iThemes Security Pro + 优惠 25%!

虽然 WordPress 确实存在安全问题,但大多数可以通过 WordPress 安全最佳实践和对潜在安全风险的认识来避免。 拥有保护您的 WordPress 网站的知识和策略,您可以极大地减少遭受黑客攻击的脆弱性,并确保您的 WordPress 网站安全无虞。

像 iThemes Security Pro 这样值得信赖的 WordPress 安全插件可以帮助保护您的 WordPress 网站。 iThemes Security 有 30 多种锁定网站的方法,可用于锁定 WordPress、修复常见漏洞、阻止自动攻击并加强用户凭据。

使用优惠券代码 PROTECTWP5 可节省 25%
iThemes Security Pro 计划。

获取 iThemes 安全专业版