WordPress網站可以具有許多安全漏洞,黑客可以利用這些漏洞來訪問該網站。一旦黑客獲得了對您網站的訪問許可權,他們將使用它執行許多惡意活動,例如啟動其他網站,發送垃圾郵件,存儲文件,竊取網站數據等。
對於某些網站,情況可能會進一步加劇。
當Google得知您的網站被黑客入侵後,就會將您的網站列入黑名單。當您的託管服務提供商得知後,他們將暫停您的網站。
但請放心,您可以採取安全措施來保護WordPress網站免受黑客攻擊。
今天,我們將向您展示如何在您的網站上找到常見的WordPress漏洞以及可以採取的修復措施。
TL; DR
為了保護WordPress網站免受常見WordPress漏洞的侵害,您需要保持網站更新,保護登錄頁面,仔細分配用戶角色,遷移到HTTPS等。您可以使用我們的WordPress安全插件– MalCare實施許多此類措施在您的網站上。
6個常見的WordPress安全漏洞及其修復
儘管WordPress網站可能存在許多漏洞,但我們一次又一次地發現大多數網站似乎都出現了一些漏洞。我們將在下面列出它們:
1.過時的主題和插件
像任何其他軟體一樣,WordPress主題和插件也會產生漏洞。當開發人員了解這些漏洞時,他們會迅速對其進行修復並以更新的形式發布安全補丁。
如果網站所有者不更新其網站並繼續使用過時的WordPress插件和主題,則他們的網站容易受到黑客攻擊。黑客積極地在WordPress網站上尋找易受攻擊的插件和主題並加以利用。
如何保持您的網站更新?
保持WordPress網站更新可能具有挑戰性。更新總是在進行中。更新的頻率使其難以實施。如果您要更新多個網站,則更加困難。
我們建議您每周留出一天的時間在所有網站上實施更新。我們還建議您使用我們的WordPress安全插件– MalCare。
您可以在MalCare的中央儀錶板上添加所有網站。每次打開儀錶板時,它將顯示您可以從MalCare儀錶板實施的所有待處理的更新。
在跳到下一個WordPress漏洞之前,我們要警告您有關更新的信息。
WordPress更新已知會破壞網站。幾年前,WooCommerce的一次重大更新導致網站崩潰,給電子商務網站所有者帶來了很多問題。
為了安全地更新您的網站而不破壞它,我們建議在暫存環境中測試更新。這是您可以使用的頂級WordPress登台插件。您可以查看更新是否對您的網站造成任何麻煩。如果您對登台站點上的所有功能都感到滿意,則可以繼續更新您的實時站點。
2.盜版插件和主題
在WordPress網站上發現的另一個非常常見的漏洞是存在盜版軟體。
盜版WordPress主題和插件可讓您免費訪問該軟體的高級版本。希望降低成本的網站所有者傾向於使用WordPress的盜版主題和插件,而不是購買高級版本。
但是,盜版軟體經常包含惡意軟體和後門程序,因此存在安全風險。當您將其安裝在網站上時,惡意軟體會感染您的網站。此外,後門是黑客進入並控制的入口。
盜版主題和插件可能會在您安裝網站後立即對其造成損害。因此,聽起來很誘人,請避免不惜一切代價在您的網站上安裝此類軟體。
如何保護您的網站免受盜版軟體的侵害?
您可以做兩件事–
一世。刪除網站上安裝的所有盜版主題和插件
停用並刪除網站上安裝的所有盜版插件和主題。
而且,如果您看到不記得在網站上安裝的任何插件或主題,則可能是黑客的一部分。強烈建議您從網站上刪除該軟體。並且我們還建議您使用WordPress惡意軟體掃描程序掃描您的網站。掃描網站後,該工具會向您顯示在您的網站上發現的被感染文件,您可以繼續使用惡意軟體刪除選項進行清理。
ii。僅從受信任的來源購買或下載插件
將來,僅從WordPress存儲庫或受信任的資源(例如Themeforest,Themesisle等)獲取所有插件或主題。
3. WordPress登錄頁面
登錄頁面使您能夠訪問WordPress管理儀錶盤,這就是為什麼黑客比其他任何頁面都更關注它的原因。
而且,很容易找到WordPress網站的登錄頁面,因為所有WordPress網站都帶有默認登錄頁面,例如website.com/wp-admin。
黑客很少嘗試自己闖入登錄頁面。他們對機器人進行編程以打開登錄頁面,並嘗試用戶名和密碼的不同組合。如果您使用易於記住的登錄憑據(例如用戶名– admin和密碼– p @ ssw0rd),則殭屍程序可以在幾分鐘內破解它。然後,黑客可以訪問您的網站並開始執行惡意活動。
這種類型的黑客攻擊稱為蠻力攻擊。幸運的是,您可以使用強大且唯一的用戶名和密碼來避免此類攻擊。
如何創建強大的憑據?
您的WordPress網站要求您輸入用戶名和密碼,兩者都必須嚴格。您需要使黑客儘可能難以猜測您的憑據。使用強大的用戶名和密碼可以大大減少被黑客入侵的可能性。
一世。創建強用戶名
許多網站所有者只專註於創建強密碼,而常常忽略用戶名。但是,如果用戶名很容易猜到,那麼黑客只需找出密碼即可。因此,您的用戶名是抵禦暴力攻擊的第一道防線,應認真對待。
幾年前,WordPress鼓勵人們使用「 admin」作為用戶名,這使黑客的工作變得容易。儘管WordPress不再建議使用該用戶名,但您仍然可以使用易於猜測的用戶名(例如「 admin」)創建一個帳戶。
您網站上的所有用戶名都應該是唯一的。這意味著要做三件事–
1.避免使用常見的用戶名,例如admin,admin124等。
2.避免使用網站上顯示的用戶名。假設,如果您以Sophia的名義發布文章,則Sophia不能是您的用戶名。
黑客經常從網站上查找名稱,然後在登錄頁面上進行嘗試。
3.您必須為所有用戶全面實施這些措施。WordPress儀錶板上的每個用戶都應將其用戶名更改為唯一的名稱。
ii。創建強密碼
我們傾向於使用弱密碼,因為它們容易記住。但是在暴力攻擊期間,黑客可以輕鬆猜測密碼並獲得對您網站的訪問許可權。
WordPress建議使用強密碼,但不強制使用。如下圖所示,它提示您密碼是弱密碼,但是您仍然可以繼續在WordPress網站上創建一個弱密碼。
因此,由網站所有者負責確保每個用戶都使用一個強密碼。
您可以通過幾種方法來創建強密碼。那些是:
1.從WordPress自動生成強密碼
步驟1:登錄WordPress信息中心。從屏幕左側的菜單中,選擇用戶 > 所有用戶。
第2步:選擇編輯轉到您的WordPress用戶個人資料。
步驟3:在用戶個人資料上,點擊生成密碼
將會生成一個包含特殊字元和數字的新密碼。
記得在退出頁面之前點擊「 保存」按鈕。
2.使用長密碼創建強密碼
您可以自己創建一個強密碼。我們建議使用密碼短語作為密碼。密碼很容易記住,但對於黑客來說很難破解。
-
- 長密碼: xG56ZhsfdfgsLNpd &&)rjl4jjNJ4#h(難以記住)
- 長密碼:您的狼是白色的,因為您一無所知John Snow(容易記住)
4.錯誤的WordPress角色
當您構建WordPress網站時,默認情況下會創建一個管理帳戶。然後開始創建新的用戶帳戶,然後為這些用戶分配角色。每個角色都有自己的一套權力和責任。
許多網站所有者常犯的一個常見錯誤是,他們將管理員角色分配給所有用戶。
管理員可以完全控制網站。掌握不當的管理權力可能對網站致命。
WordPress提供了六種類型的用戶角色。這是一個層次結構。當您沿著層次結構下降時,您的能力會降低。
-
- 管理員 –可以訪問所有功能,並且可以完全控制整個網站。
- 編輯器 –可以管理和發布所有帖子。
- 作者 -只能發布和管理自己的帖子。
- 貢獻者 –可以撰寫和起草自己的帖子,但不能發布。
- 訂閱者 –只能管理自己的個人資料。
如何設置正確的用戶角色?
第一步是仔細確定要分配給哪些用戶的角色。強烈建議僅保留2到3個管理員用戶。
現在,如果您想更改用戶角色,這就是您需要做的。
步驟1:登錄WordPress信息中心。從屏幕左側的菜單中,選擇用戶 > 所有用戶。
步驟2:選擇Edit(編輯)轉到您的用戶個人資料。
步驟3:從那裡為用戶選擇新角色。
5.能夠在未知文件夾中執行代碼
您的WordPress網站由數百個文件和文件夾組成(建議閱讀:了解WordPress的文件結構)。其中一些文件和文件夾通常在其他WordPress網站上找到。例如,每個WordPress網站上都存在Upload文件夾。它用於存儲您網站上安裝的所有插件和主題。
但是,除了這些已知文件夾之外,在某些網站中通常會找到未知文件夾。
在某些情況下,文件夾是由網站所有者添加的,但在大多數情況下,文件夾是黑客的一部分。黑客將惡意代碼注入這些文件夾。由於WordPress沒有合適的系統來阻止未知文件夾中代碼的執行,因此黑客可以輕鬆地使用惡意代碼來進行惡意活動。
如何防止執行未知文件夾中的代碼?
有兩種方法可以阻止在未知文件夾上執行代碼:
1. 您可以手動執行(困難的方式)
2. 您可以使用插件來做到這一點(簡單方法)
我們將向您展示兩種方式。
使用插件
1. 在MalCare上註冊並設置一個帳戶。
2.在MalCare儀錶板中,單擊您的網站。然後轉到「 安全性」>「應用強化」。
3.然後選擇「 阻止不受信任的文件夾中的PHP文件執行」
而已。
手動執行
手動禁用PHP執行是一個冒險的過程,我們不建議這樣做。
但是,如果您仍然想嘗試一下,我們建議您首先進行完整的網站備份。
要在未知文件夾中禁用PHP執行,您需要創建一個.htaccess文件並將其上傳到該文件夾中。
1.打開記事本(在Windows上)或TextEdit(在Mac上)
2.插入以下代碼段並將文件另存為.htaccess(不是.htaccess.txt而是.htaccess):
|
1個
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
# BEGIN WordPress<IfModule mod_rewrite.c>RewriteEngine OnRewriteBase /RewriteRule ^index.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteRule . /index.php [L] </IfModule># END WordPress |
3.然後使用上載選項將文件上載到未知文件夾中。
現在您已經在未知文件夾中有了一個新的.htaccess文件,現在該阻止執行PHP代碼了。
4.右鍵單擊.htaccess文件,然後選擇編輯。插入以下代碼並保存文件:
|
1個
2
3
4
5
6
7
|
<FilesMatch 「.(php|php.)$」>Order Allow, DenyDeny from all</FilesMatch> |
而已。您網站上的PHP漏洞已被阻止。
6.在HTTP上運行網站
HTTP代表超文本傳輸協議。此技術可幫助在您的網站伺服器(例如Hostgator伺服器)和訪問者的瀏覽器(例如Google Chrome)之間建立連接。
您如何知道您的網站是否在HTTP上運行?
快速瀏覽您網站的URL。URL如何開始?
如果您的URL以http://開頭,則您的網站正在HTTP上運行。
HTTP不安全。使用HTTP時,不會加密伺服器和瀏覽器之間通過Internet發送的數據。它以純文本發送。如果黑客攔截了數據,則只需讀取即可。
假設訪問者正在您的網站上提交他的信用卡詳細信息。由於您的網站運行在不安全的HTTP上,因此任何人都可以攔截該連接並竊取數據。
為了保護您的網站免遭此類黑客攻擊,您需要切換到HTTPS。「 S」代表安全。HTTPS確保在訪問者的瀏覽器和您的網站伺服器之間傳輸的數據被加密。因此,即使黑客攔截並竊取了數據,他們也無法讀取數據。
如何從HTTP遷移到HTTPS?
要將WordPress從HTTP移到HTTPS,您需要一個SSL證書。
您可以從WordPress託管提供商或受信任的供應商那裡獲得此證書。此外,還有免費證書和付費證書。我們提供了指南,可幫助您為您的網站選擇最佳的SSL證書,並向您展示如何採取行動。
您可能會在網站上發現多個漏洞。請確保您檢查您的網站上上面列出的所有漏洞。
最後的想法
黑客一直在尋找新穎的網站黑客方式。
但是,如果您已經實施了上面詳細介紹的措施,我們相信您已減少了被黑客入侵的可能性。
網站安全並不是一件容易的事。我們發現保護您的網站免受任何類型威脅的最有效方法之一是安裝安全插件,如MalCare。
該插件放置了防火牆和登錄保護措施,以阻止黑客嘗試,例如SQL注入攻擊,跨站點腳本(存儲的XSS)攻擊等。它每天掃描您的網站,並使您能夠測量WordPress網站強化措施。如果您的網站被黑了,它將幫助您立即清理您的網站。使用MalCare保護您的WordPress網站。另外,您可以查看有關WordPress安全性的指南。有關更多教程,請關注我們的WordPress博客。