WordPress是一種流行的內容管理系統(CMS),用於創建網站或博客。使WordPress如此流行的原因之一就是它的簡單性-用戶可以使用WordPress輕鬆創建,修改和管理其網站上的內容,而無需任何編碼經驗。這促使許多公司和個人使用WordPress構建其網站。
W3techs 最近的一份報告說,WordPress占所有網站的34.5%。這意味著您使用的每三個網站都是使用WordPress構建的。在CMS解決方案中,WordPress的市場份額更高,超過60%的網站都在WordPress上運行。Joomla位居第二,但差距很大-只佔總數的5-10%。
為什麼WordPress網站遭到黑客入侵?
即使它們可能比互聯網上的任何其他網站都更不受攻擊,但WordPress站點更容易被黑客入侵,因為它們更為常見。鑑於WordPress的廣泛流行,攻擊者有更多動機去嘗試尋找利用這些站點中發現的漏洞的方法。
當攻擊者確實在WordPress中發現漏洞時,他們的目標比互聯網上幾乎任何其他系統都要多。此外,由於WordPress吸引了許多沒有編碼經驗的用戶,因此他們採取必要措施來保護其網站免受攻擊者可以利用的漏洞的可能性大大降低。WordPress網站遭到黑客入侵的另一個原因是“練習”和實踐。許多初學者試圖找到安全性較弱的網站來練習其黑客技能,並找到改進的方法。
WordPress網站被黑客入侵的7種方法以及如何預防
您需要了解WordPress網站被黑的一些常見原因,並採取相應的預防措施。
密碼不足
您的密碼充當WordPress網站的密鑰,這意味著您必須確保它們足夠強大以保護它。研究表明,大約80%的數據洩露是由於密碼不足造成的。
修復方法:修復此漏洞很簡單–使用更強的密碼。您還可以使用第三方密碼管理器,例如LastPass。
沒有更改您的WordPress用戶名
當您打開WordPress帳戶時,您的用戶名是“ admin”,每個人都知道這一點。因此,這是威脅參與者在嘗試入侵您的網站時會嘗試使用的第一個用戶名。該帳戶具有root特權,可用於破壞您的網站,訪問連接的網絡以及竊取或刪除或勒索數據。
解決方法:如果您的用戶名是admin,請盡快將其更改為其他用戶名。
不安全的網頁寄存
WordPress網站與其他所有網站一樣都託管在伺服器上。選擇合適的伺服器供應商是確保您的網站安全的關鍵。即使您實施了本指南中提到的所有其他技巧,但是如果您的提供者本身提供的保護很弱,您的網站仍然可能被黑(編按:曾經用過IBM雲端主機,香港機房被黑客大量攻擊,還要用戶加買硬體防火牆,非常不划算)。
解決方法:在預算範圍內選擇最佳的WordPress伺服器供應商,並確保您的網站託管在安全的平台上。
不正確的文件訪問權限
文件權限是託管服務器使用的規則,可幫助您的Web服務器控制對網站存儲和使用的文件的訪問。為這些文件提供錯誤的權限可能會允許黑客訪問和修改您的文件,這可能會導致您的網站出現各種問題。
解決方法:確保所有WordPress文件均設置為644的值權限,並且所有文件夾均設置為755。
安全性不足,無法應對常見的網絡威脅 (SQL Injection)
即使您擁有最強的密碼並使用最安全的主機,您仍然容易受到網絡攻擊。例如,SQL注入(SQL Injection)是一種常見的攻擊,用於用惡意軟件感染網站。
如何解決:了解最常見的威脅以及如何保護您的網站免受這些威脅。一個不錯的起點是OWASP(開放Web應用程序安全性項目)排名前10位–列出了最緊迫的10個漏洞的列表。OWASP還提供教育資源,您可以將其用於改善網絡安全實踐。
使用過時的WordPress版本
一些WordPress用戶擔心將其網站更新到最新版本的WordPress,因為這可能會導致其網站出現錯誤。但是,避免更新是一個嚴重的問題,因為許多更新已發布以修補安全漏洞。
如何解決:您應該始終更新到最新版本,以確保獲得最新的錯誤修復和安全更新。如果您擔心更新可能會使您的網站混亂,那麼創建一個完整的WordPress備份始終是一個好習慣,尤其是在版本更新之前。
使用過時的主題或插件
WordPress主題和插件與它們運行的核心軟件沒有太大區別,保持更新同樣重要-過時的版本可能會受到漏洞的攻擊。
解決方法:請確保您擁有所有主題和插件的最新版本。
總結
WordPress網站常常被黑客入侵,這是事實,因此需要解決。電子商務網站特別容易受到攻擊,因為它們比常規網站提供更多的報酬。一個成功的電子商務平台可以處理許多交易,通常會存儲敏感信息。
如果網站被破壞,攻擊者可能會竊取信息。這會使網站陷入困境,尤其是當該網站正在為與歐盟相關的用戶提供服務時。此信息受通用數據保護條例(EU GDPR)的保護,該條例保護“歐盟和歐洲經濟區的所有個人”的敏感信息。不遵守GDPR可能會導致財務和聲譽損失。
要記住的另一個合規實體是“支付卡行業數據安全標準”(PCI DSS),它可以保護信用卡持有人的敏感和財務信息。PCI適用於處理,存儲,傳輸和接觸信用卡數據的任何商人。這意味著電子商務平台必須符合PCI。PCI由主要的信用卡公司維護和監管,這些信用卡公司通過罰款來強制符合規範。