如果您采取适当的预防措施,您的网站就像一个家 – 安全,但如果您不这样做,则容易受到窃贼的攻击。然而,在网站世界中,网站不会被盗,他们会被黑客入侵。每年被黑客入侵的网站数量继续增加。
WordPress网站如何被黑客入侵?并且,是否可以保护您的网站?
以下提示将为您提供保护您的网站免受恶意攻击并保护您的数据和内容安全的知识。
1.暴力攻击
很容易想象有人试图使用暴力破坏家庭的前门。如果强盗付出足够的努力,他们最终会成功,让你的门成为碎片。
技术领域的暴力攻击非常相似:黑客使用自动化软件反复尝试猜测你的WordPress用户名和密码,直到他们成功入侵你的网站。他们会经常使用500个最常用密码的列表,在您的网站的WordPress登录页面上尝试每个密码。机器人只需几分钟即可尝试几百种组合。有多少人使用’admin’作为用户名,你会感到惊讶!
不幸的是,暴力攻击在WordPress等内容管理系统网站上非常普遍:每天平均发生2600万次攻击。
保护您的网站免受暴力攻击
值得庆幸的是,有几种方法可以保护您的网站免受暴力攻击。最简单的防御之一是使用强密码和用户名进行WordPress登录。这适用于WordPress网站中的每个用户账户。要保护您的网站,请每隔几个月检查一次所有用户账户。出于安全原因,请务必删除未使用的账户,包括停止为您的公司工作的员工。
启用全天候安全监控是抵御您网站攻击的最佳安全措施之一。安全监控软件可以检测并阻止攻击您网站的企图。在查看不同的监视选项时,请考虑在服务器级别上设置安全选项,而不是使用安全性插件。
2.通过不安全的托管服务器访问站点
您的网站托管环境在您的WordPress网站的安全性中起着重要作用,托管服务器可能是攻击的常见访问点。
了解托管服务器影响的一种简单方法是考虑您所居住的社区的安全性如何影响您个人住宅的安全。这在公寓大楼内最为明显。如果你的综合设施有一个破损的停车门,从来没有完全关闭,或者主入口通道被打开,那么你的房屋就不安全,你被抢劫的可能性更大。
您的网站也是如此。如果您使用的是共享托管平台(虚拟主机),则您的网站很可能位于拥有数千个其他网站的服务器上。如果服务器不安全,无论您采取什么措施来保护您的个人网站,您的网站遭受黑客攻击的风险都会更高。
此外,如果服务器上的其中一个站点遭到入侵,则会使每个站点都处于危险之中。毕竟,如果一个窃贼设法闯入你邻居的公寓,他们可能会盯着其他建筑群同样容易闯入。
如何保护您的托管环境
托管环境可能会影响从安全性到性能的所有内容。将您的网站放在便宜的服务器上可能很诱人,但是你可能需要在安全问题上的为其长期付费。
WordPress网站在共享主机环境中的表现往往较差,因此在安全性和性能方面寻找托管型WordPress环境是最佳选择。
托管型WordPress环境是理想的选择。在托管型环境中,托管服务负责处理所有技术细节,例如备份服务和服务器更新。有条件的话,可以请专业的技术人员负责服务器和网站的安全维护工作。
为了安全起见,请确保服务器级别存在磁盘写入限制和保护。这意味着服务器环境限制了可写入磁盘的进程。通过此设置,攻击者很难利用主题或插件中的漏洞。还会记录每次写入磁盘的尝试,这有助于开发人员在发生安全漏洞时追踪恶意软件的来源。
3.通过WordPress主题或插件攻击网站
黑客可以访问您网站的另一种方式是通过您网站上安装的WordPress主题或插件中的漏洞。
如果是您的家,您可以租用园艺师到您的院子,一个勤杂工来修理漏水的水龙头,或者承包商来重做您的浴室。你可能会对它们进行审查,以确保它们值得信赖,而不是直接向陌生人开放你的家。即使经过审查,您也可能会邀请到某个不值得信赖的人进入家中。
WordPress网站上的主题和插件与此非常相似。每个WordPress站点都需要主题和插件来执行不同的功能,而WordPress的一大优势是开发人员不断构建新的功能和特性。问题是每个主题和插件都需要维护和监控。在发现安全漏洞之前,主题和插件可能会运行很长时间。之前隐藏的安全漏洞是黑客打开的大门,直到开发人员创建更新来修补它。如果您没有实现该主题或插件更新,您实际上是将您的站点的密钥提供给了黑客。
确保主题或插件来源可靠
- 免费主题和插件最好选择WordPress官方库发布的,或者来自主题或插件开发者原出处的;
- 收费主题和插件一定要通过官方渠道购买,不要贪图便宜去找所谓泄露版或破解版或倒卖版!否则你将为此付出惨痛的代价!
维护您的WordPress主题和插件
防止WordPress网站上的插件和主题出现安全问题的最佳方法,是让经验丰富的开发人员每月定期更新主题和所有插件。过时的插件和主题是一个主要的安全风险。
就像您在让他们在家中工作之前审查公司或承包商一样,最佳做法是让WordPress开发人员在安装之前检查主题和插件。
如果主题或插件的开发人员停止测试并更新它,请密切关注您的主题和插件。一旦主题或插件被放弃,任何安全漏洞都无法得到修补。
最终,WordPress.org将从存储库中删除一个已放弃的插件,但这通常仅在使用该插件的网站发生重大漏洞后才会发生。例如,在Duplicate Page插件中发现了最新的漏洞,并且有超过800,000个网站受到影响。
除了插件和主题之外,您还需要使WordPress核心保持最新状态。每隔几个月,就会发布一个新版本的WordPress,核心本身就可以有安全补丁。在更新到最新版本之前,始终让开发团队在测试环境中测试最新版本。这使您有机会发现任何潜在问题,包括在网站上发生更改之前与当前主题和插件的兼容性问题。
保护每个站点,无论大小
作为网站所有者,您可能会认为您的网站就像您的家一样:如果您家中没有任何有价值的东西,那么就不需要花哨的安全系统。所以,如果你有一个小网站,网站上没有金融交易,没有人会破解它,对吧?不幸的是,事实并非如此。
倡萌处理过一些被黑的WordPress网站,很多是小型的网站,网站所有者经常会说,我们的网站这么小,为什么就会被黑?他们黑我的网站有什么用?其实,大多数被黑的网站,都是被别人用来做暗链或非法重定向,不在乎你网站是大是小!!
小型WordPress网站可以成为简单的目标,允许黑客感染不安全的网站,并使您的网络访问者面临风险。通过投资适当的WordPress安全和维护来保护您的网站和Web访问者。
本文内容参考自 https://torquemag.io/2019/06/how-wordpress-websites-get-hacked/ ,有调整。
用好点的主机基本上无忧
弱口令第一,虚拟主机第二。