使用技巧

7个最常见的WordPress安全漏洞(以及如何修复它们)

WordPress网站可以具有许多安全漏洞,黑客可以利用这些漏洞来访问该网站。一旦黑客获得了对您网站的访问权限,他们将使用它执行许多恶意活动,例如启动其他网站,发送垃圾邮件,存储文件,窃取网站数据等。

对于某些网站,情况可能会进一步加剧。

当Google得知您的网站被黑客入侵后,就会将您的网站列入黑名单。当您的托管服务提供商得知后,他们将暂停您的网站

但请放心,您可以采取安全措施来保护WordPress网站免受黑客攻击。

今天,我们将向您展示如何在您的网站上找到常见的WordPress漏洞以及可以采取的修复措施。

TL; DR

为了保护WordPress网站免受常见WordPress漏洞的侵害,您需要保持网站更新,保护登录页面,仔细分配用户角色,迁移到HTTPS等。您可以使用我们的WordPress安全插件– MalCare实施许多此类措施在您的网站上。

6个常见的WordPress安全漏洞及其修复

尽管WordPress网站可能存在许多漏洞,但我们一次又一次地发现大多数网站似乎都出现了一些漏洞。我们将在下面列出它们:

1.过时的主题和插件

像任何其他软件一样,WordPress主题和插件也会产生漏洞。当开发人员了解这些漏洞时,他们会迅速对其进行修复并以更新的形式发布安全补丁。

如果网站所有者不更新其网站并继续使用过时的WordPress插件和主题,则他们的网站容易受到黑客攻击。黑客积极地在WordPress网站上寻找易受攻击的插件和主题并加以利用。

如何保持您的网站更新?

保持WordPress网站更新可能具有挑战性。更新总是在进行中。更新的频率使其难以实施。如果您要更新多个网站,则更加困难。

我们建议您每周留出一天的时间在所有网站上实施更新。我们还建议您使用我们的WordPress安全插件– MalCare。

您可以在MalCare的中央仪表板上添加所有网站。每次打开仪表板时,它将显示您可以从MalCare仪表板实施的所有待处理的更新

 

update-plugins-malcare

 

在跳到下一个WordPress漏洞之前,我们要警告您有关更新的信息。

WordPress更新已知会破坏网站。几年前,WooCommerce的一次重大更新导致网站崩溃,给电子商务网站所有者带来了很多问题。

为了安全地更新您的网站而不破坏它,我们建议在暂存环境中测试更新。这是您可以使用的顶级WordPress登台插件。您可以查看更新是否对您的网站造成任何麻烦。如果您对登台站点上的所有功能都感到满意,则可以继续更新您的实时站点。

2.盗版插件和主题

在WordPress网站上发现的另一个非常常见的漏洞是存在盗版软件。

盗版WordPress主题和插件可让您免费访问该软件的高级版本。希望降低成本的网站所有者倾向于使用WordPress的盗版主题和插件,而不是购买高级版本。

但是,盗版软件经常包含恶意软件和后门程序,因此存在安全风险。当您将其安装在网站上时,恶意软件会感染您的网站。此外,后门是黑客进入并控制的入口。

盗版主题和插件可能会在您安装网站后立即对其造成损害。因此,听起来很诱人,请避免不惜一切代价在您的网站上安装此类软件。

如何保护您的网站免受盗版软件的侵害?

您可以做两件事–

一世。删除网站上安装的所有盗版主题和插件

停用并删除网站上安装的所有盗版插件和主题。

而且,如果您看到不记得在网站上安装的任何插件或主题,则可能是黑客的一部分。强烈建议您从网站上删除该软件。并且我们还建议您使用WordPress恶意软件扫描程序扫描您的网站。扫描网站后,该工具会向您显示在您的网站上发现的被感染文件,您可以继续使用恶意软件删除选项进行清理。

ii。仅从受信任的来源购买或下载插件

将来,仅从WordPress存储库或受信任的资源(例如Themeforest,Themesisle等)获取所有插件或主题。

3. WordPress登录页面

登录页面使您能够访问WordPress管理仪表盘,这就是为什么黑客比其他任何页面都更关注它的原因。

而且,很容易找到WordPress网站的登录页面,因为所有WordPress网站都带有默认登录页面,例如website.com/wp-admin

黑客很少尝试自己闯入登录页面。他们对机器人进行编程以打开登录页面,并尝试用户名和密码的不同组合。如果您使用易于记住的登录凭据(例如用户名– admin和密码– p @ ssw0rd),则僵尸程序可以在几分钟内破解它。然后,黑客可以访问您的网站并开始执行恶意活动。

这种类型的黑客攻击称为蛮力攻击。幸运的是,您可以使用强大且唯一的用户名和密码来避免此类攻击。

如何创建强大的凭据?

您的WordPress网站要求您输入用户名和密码,两者都必须严格。您需要使黑客尽可能难以猜测您的凭据。使用强大的用户名和密码可以大大减少被黑客入侵的可能性。

一世。创建强用户名

许多网站所有者只专注于创建强密码,而常常忽略用户名。但是,如果用户名很容易猜到,那么黑客只需找出密码即可。因此,您的用户名是抵御暴力攻击的第一道防线,应认真对待。

几年前,WordPress鼓励人们使用“ admin”作为用户名,这使黑客的工作变得容易。尽管WordPress不再建议使用该用户名,但您仍然可以使用易于猜测的用户名(例如“ admin”)创建一个帐户。

您网站上的所有用户名都应该是唯一的。这意味着要做三件事–

1.避免使用常见的用户名,例如admin,admin124等。

2.避免使用网站上显示的用户名。假设,如果您以Sophia的名义发布文章,则Sophia不能是您的用户名。

黑客经常从网站上查找名称,然后在登录页面上进行尝试。

3.您必须为所有用户全面实施这些措施。WordPress仪表板上的每个用户都应将其用户名更改为唯一的名称。

ii。创建强密码

我们倾向于使用弱密码,因为它们容易记住。但是在暴力攻击期间,黑客可以轻松猜测密码并获得对您网站的访问权限。

WordPress建议使用强密码,但不强制使用。如下图所示,它提示您密码是弱密码,但是您仍然可以继续在WordPress网站上创建一个弱密码。

因此,由网站所有者负责确保每个用户都使用一个强密码。

 

reset-password-wordpress

 

您可以通过几种方法来创建强密码。那些是:

1.从WordPress自动生成强密码

步骤1:登录WordPress信息中心。从屏幕左侧的菜单中,选择用户 > 所有用户

 

all-users-wordpress-dashboard

 

第2步:选择编辑转到您的WordPress用户个人资料。

 

edit-user-profile-wordpress

 

步骤3:在用户个人资料上,点击生成密码

 

generate-new-password-wordpress

 

将会生成一个包含特殊字符和数字的新密码。

 

strong-new-password

 

记得在退出页面之前点击“ 保存”按钮。

2.使用长密码创建强密码

您可以自己创建一个强密码。我们建议使用密码短语作为密码。密码很容易记住,但对于黑客来说很难破解。

    • 长密码: xG56ZhsfdfgsLNpd &&)rjl4jjNJ4#h(难以记住)
    • 长密码:您的狼是白色的,因为您一无所知John Snow(容易记住)

4.错误的WordPress角色

当您构建WordPress网站时,默认情况下会创建一个管理帐户。然后开始创建新的用户帐户,然后为这些用户分配角色。每个角色都有自己的一套权力和责任

许多网站所有者常犯的一个常见错误是,他们将管理员角色分配给所有用户。

管理员可以完全控制网站。掌握不当的管理权力可能对网站致命。

WordPress提供了六种类型的用户角色。这是一个层次结构。当您沿着层次结构下降时,您的能力会降低。

    • 管理员 –可以访问所有功能,并且可以完全控制整个网站。
    • 编辑器 –可以管理和发布所有帖子。
    • 作者 -只能发布和管理自己的帖子。
    • 贡献者 –可以撰写和起草自己的帖子,但不能发布。
    • 订阅者 –只能管理自己的个人资料。

如何设置正确的用户角色?

第一步是仔细确定要分配给哪些用户的角色。强烈建议仅保留2到3个管理员用户。

现在,如果您想更改用户角色,这就是您需要做的。

步骤1:登录WordPress信息中心。从屏幕左侧的菜单中,选择用户 > 所有用户

 

all-users-wordpress-dashboard-1

 

步骤2:选择Edit(编辑)转到您的用户个人资料。

 

edit-user-profile-wordpress-1

 

步骤3:从那里为用户选择新角色。

 

wordpress-user-roles

 

5.能够在未知文件夹中执行代码

您的WordPress网站由数百个文件和文件夹组成(建议阅读:了解WordPress的文件结构。其中一些文件和文件夹通常在其他WordPress网站上找到。例如,每个WordPress网站上都存在Upload文件夹。它用于存储您网站上安装的所有插件和主题。

但是,除了这些已知文件夹之外,在某些网站中通常会找到未知文件夹。

在某些情况下,文件夹是由网站所有者添加的,但在大多数情况下,文件夹是黑客的一部分。黑客将恶意代码注入这些文件夹。由于WordPress没有合适的系统来阻止未知文件夹中代码的执行,因此黑客可以轻松地使用恶意代码来进行恶意活动。

如何防止执行未知文件夹中的代码?

有两种方法可以阻止在未知文件夹上执行代码:

1. 您可以手动执行(困难的方式)

2. 您可以使用插件来做到这一点(简单方法)

我们将向您展示两种方式。

使用插件

1. 在MalCare上注册设置一个帐户

2.在MalCare仪表板中,单击您的网站。然后转到“ 安全性”>“应用强化”

 

malcare-site-hardening

 

3.然后选择“ 阻止不受信任的文件夹中的PHP文件执行”

 

block-php-execution-in-untrusted-folders

 

而已。

手动执行

手动禁用PHP执行是一个冒险的过程,我们不建议这样做

但是,如果您仍然想尝试一下,我们建议您首先进行完整的网站备份。

要在未知文件夹中禁用PHP执行,您需要创建一个.htaccess文件并将其上传到该文件夹​​中。

1.打开记事本(在Windows上)或TextEdit(在Mac上)

2.插入以下代码段并将文件另存为.htaccess(不是.htaccess.txt而是.htaccess):

1个
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L] </IfModule>
# END WordPress

 

3.然后使用上载选项将文件上载到未知文件夹中。

 

file-manager-upload-option

 

现在您已经在未知文件夹中有了一个新的.htaccess文件,现在该阻止执行PHP代码了。

4.右键单击.htaccess文件,然后选择编辑。插入以下代码并保存文件:

1个
2
3
4
5
6
7
<FilesMatch “.(php|php.)$”>
Order Allow, Deny
Deny from all
</FilesMatch>

 

Block-PHP-File-Execution-in-Untrusted-Folders-htaccess-file

 

而已。您网站上的PHP漏洞已被阻止。

6.在HTTP上运行网站

HTTP代表超文本传输​​协议。此技术可帮助在您的网站服务器(例如Hostgator服务器)和访问者的浏览器(例如Google Chrome)之间建立连接。

您如何知道您的网站是否在HTTP上运行?

快速浏览您网站的URL。URL如何开始?

如果您的URL以http://开头,则您的网站正在HTTP上运行。

HTTP不安全。使用HTTP时,不会加密服务器和浏览器之间通过Internet发送的数据。它以纯文本发送。如果黑客拦截了数据,则只需读取即可。

假设访问者正在您的网站上提交他的信用卡详细信息。由于您的网站运行在不安全的HTTP上,因此任何人都可以拦截该连接并窃取数据

为了保护您的网站免遭此类黑客攻击,您需要切换到HTTPS。“ S”代表安全。HTTPS确保在访问者的浏览器和您的网站服务器之间传输的数据被加密。因此,即使黑客拦截并窃取了数据,他们也无法读取数据。

如何从HTTP迁移到HTTPS?

要将WordPress从HTTP移到HTTPS,您需要一个SSL证书。

您可以从WordPress托管提供商或受信任的供应商那里获得此证书。此外,还有免费证书和付费证书。我们提供了指南,可帮助您为您的网站选择最佳的SSL证书,并向您展示如何采取行动。

您可能会在网站上发现多个漏洞。请确保您检查您的网站上上面列出的所有漏洞。

最后的想法

黑客一直在寻找新颖的网站黑客方式。

但是,如果您已经实施了上面详细介绍的措施,我们相信您已减少了被黑客入侵的可能性。

网站安全并不是一件容易的事。我们发现保护您的网站免受任何类型威胁的最有效方法之一是安装安全插件,如MalCare。

该插件放置了防火墙和登录保护措施,以阻止黑客尝试,例如SQL注入攻击,跨站点脚本(存储的XSS)攻击等。它每天扫描您的网站,并使您能够测量WordPress网站强化措施。如果您的网站被黑了,它将帮助您立即清理您的网站。使用MalCare保护您的WordPress网站。另外,您可以查看有关WordPress安全性的指南。有关更多教程,请关注我们的WordPress博客。