有了WordPress提供的出色功能和定制选项,几乎33%的网站使用WordPress CMS就不足为奇了。然而,潜在的安全问题可能会给网站所有者带来麻烦。事实上,最近一项研究分析了8000个被黑客攻击的网站,其中74%使用的是WordPress。如果你正在使用一个WordPress网站,为了将风险降到最低,确保你的安全设置正确是很重要的。那么,最好的行动方案是什么呢?下面的安全问题是一些最重要的,可能会使你的WordPress网站容易受到黑客攻击。发现并解决这些问题是很重要的;直走。
1。创建一个网站的主要资源之一是网络托管。从您的站点的性能到它的安全性,您的托管服务可以影响这一切。因此,选择提供足够安全性的托管提供商是至关重要的。
在考虑和分析您的托管选项时,以下提示应该会对您有所帮助。浏览它提供的所有安全特性。要知道,当谈到托管时,昂贵并不总是意味着更好。一些提供商的入门级套餐与其他托管提供商的高端套餐一样贵。这并不总是意味着它们可以被比较。了解两种最流行的托管服务类型之间的区别。共享主机:共享主机服务提供基本的安全扫描,可以检测到WordPress恶意软件。它还允许您跟踪访问您的网站的访问者。这可以帮助您识别有害的访问者并屏蔽他们的IP地址。共享主机服务的主要亮点是它能够托管多个网站,这也使得它比其他类型的主机便宜得多。托管托管:这是一种托管服务,提供防火墙和常规恶意软件扫描的安全。一些供应商提供“托管托管服务”,限制对WordPress文件和文件夹的访问,以保证它们的安全。例如,WP-Engine阻止更改所有PHP文件,而Pantheon不允许在文件夹中写入内容,除了包含主题和插件数据的文件夹。测试客户支持:客户支持是在比较托管提供商时需要考虑的另一个因素。无论是小问题还是彻底崩溃;如果是关于托管服务,提供商应该提供完整的客户支持。要想知道一个供应商的支持系统有多合格,只需获得他们的联系方式,然后联系他们。问他们你所有的问题,看看他们在解决你的问题时是否有耐心和合作。根据这些经验,你就会知道如果出现安全漏洞,他们会如何反应。这将帮助你决定是否从他们那里购买。
如果您已经从错误的提供商购买了托管计划,不必担心。你不必等待你的计划到期。像BlogVault和Migrate Guru这样的服务可以帮助你迁移到不同的主机提供商,没有任何麻烦。
2。和其他CMS一样,WordPress需要定期更新。忽略这一点可能会使你的WordPress站点存在潜在的安全风险。事实上,80%被入侵的WordPress网站运行的都是过时的主题和/或插件。令人瞠目结舌的,对吧?作为一个开源的CMS,有成千上万的开发人员在不同的主题和插件上工作,这意味着你的WordPress仪表板可能会收到许多基于你正在使用的插件和主题的更新。你需要确保所有的核心主题和插件都更新到最新版本。打开你的WordPress仪表板,进入Plugins > Installed Plugins 
。仪表板会带你到显示你已经安装的插件的页面。确定挂起并更新的插件,然后单击“立即更新”。
Sim卡通常情况下,你可以通过访问外观>主题以同样的方式更新你的网站上的主题。这也将解锁添加到主题/插件/系统的最新功能。这有助于维护您的网站的安全性和稳定性。
3。虽然建立一个WordPress网站不会花你很多钱,但要让它看起来美观,功能丰富,一个好的WordPress主题/插件可能要花费你10- 200美元。为了避免这些“所谓的”不速之客成本,网站管理员通常采取更便宜的路线,使用无效/盗版插件/主题,这些插件/主题是免费的,或者可以忽略不计的价格。
的结果是什么?有很多情况下,当一个使用空主题的网站无意中通过URL为黑客提供了后门访问:https://www.example.xyz?backdoor=go时,黑客能够访问该网站,因为URL触发了网站的后门,创建了一个新的WordPress管理员帐户,具有以下凭证:用户名:backdooradmin密码:这通常是实际主题所有者添加到functions.php文件中的额外短代码的结果。
将您的站点从此类风险中拯救出来。总是从官方的WordPress仓库或其他可信赖的来源,如主题森林或Themeisle中获取主题和插件。
4。
默认登录页面:使用相同的旧用户名和容易猜到的密码,让黑客更容易进入你的网站后端。
如何修复?
用户名和密码问题:尝试创建一个您没有在另一个帐户上使用过的用户名和密码。请注意,拥有唯一的用户名非常重要。如果用户名很容易猜出来,那么黑客唯一需要知道的就是你的密码。一定不要在你的网站上显示你的用户名。这样做就像给黑客一个个人邀请,让他们在你的WordPress仪表盘上享受盛宴。相反,使用一个不同于用户名的昵称或头衔。默认登录页面URL问题:www.yoursite.com/wp-admin这是最简单、最常见的WordPress登录页面URL选择,它会让你的网站容易受到黑客攻击。大多数黑客不会手动攻击。他们编程机器人访问登录页面,破解目标网站的登录凭证。使用默认的登录页面URL将减少机器人和黑客试图进入你的网站的工作量。最好的解决方法是更改默认的登录URL。例如,将- www.yoursite.com/wp-admin更改为www.yoursite.com/welcometomysite,执行以下简单步骤即可。-首先,使用UpdraftPlus对你的WordPress网站做一个完整的备份。-然后安装并激活’ Easy Hide Login ‘插件(它是免费的)。
-进入插件的设置,并提交您选择的登录段(如” welcometomysite “)。-这将改变你的WordPress登录地址从yoursite.com/wp-admin到yoursite.com/welcometomysite,使它更难以被黑客攻击你的网站。
5。就像网络上或网络外的其他计算机程序一样,WordPress网站也由文件和文件夹组成。其中一个文件夹是“Uploads”文件夹。此文件夹存储您站点的所有主题和插件数据。潜在的黑客可以找到一种方法,将PHP代码上传到这个文件夹,以访问您的网站。
一旦黑客通过这种方法获得了访问权限,他们就可以从您的邮件列表中窃取您计划将来发布的内容以及其他重要资源,如电子邮件地址。他们也可能出售你网站的反向链接,或者在你不知情的情况下使用你的内容创建到他们网站的链接。或者最糟糕的是,他们可以摧毁整个网站并将其删除。
这种类型的黑客最糟糕的部分是您不知道任何直到你的主机提供商或搜索引擎禁止你的网站。为了避免这种情况,您可以通过以下步骤禁用PHP执行。在cPanel的网站根目录中的“上传”文件夹中创建一个。htaccess文件。用记事本(Windows)或TextEdit (Mac)创建一个新文件。将以下代码粘贴到此文件中,并将其保存为。htaccess(而不是。htaccess.txt)。# BEGIN WordPress RewriteEngine On RewriteBase / RewriteRule ^index\.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !/index.php [L] # END WordPress将此文件上传到“Upload”文件夹。现在,你有了一个新的。htaccess文件专门用于你的“上传”文件夹。右键单击以编辑它并粘贴以下代码。 Order Allow, Deny Deny from all
执行以上步骤后,您的网站将阻止任何由’ php ‘组成的外部文件的执行。此更改将为站点的安全墙添加另一块砖。另外,请注意使用这种方法有一点风险。即使是一个微不足道的错误也可能破坏您的网站。因此,如果您对使用cPanel不确定,请向确定使用cPanel的人咨询。
6。虽然https://yoursite.com和https://yoursite.com都将加载相同的网页,但有一个小小的差异可能会破坏协议。
SSL证书。上面示例中的第一个URL没有使用SSL证书,而第二个示例使用SSL证书。这将极大地影响网站的安全,使访问者的设备和您的web服务器之间的通信处于危险之中。SSL证书对信息进行加密,因此只有指定的收件人才能访问该信息。为了保护你的网站不被泄露,建议尽早安装SSL证书。安装SSL证书通常是直接且容易的。您通常可以从托管提供商那里购买SSL证书,但如果他们不出售SSL服务,您应该考虑从其他提供商那里购买。从托管提供商处获得SSL证书还可以省去安装的麻烦。他们会设置一切,你只需要将你的“http”页面重定向到“https”。不保护你的WordPress网站不受安全威胁会在很多方面伤害你的业务。毫不奇怪,所有的网站管理员都需要注意网站安全,并有一个足够的备份插件和系统到位。尽管你尽了最大的努力,但如果最坏的情况发生,你的网站遭受恶意攻击;UpdraftPlus可以提供安全可靠的备份和恢复选项。这将有助于确保你的网站始终拥有所有重要的安全网,即使是在黑客入侵的情况下。要了解更多信息,请务必查看WordPress的最佳备份和恢复插件。
在这篇文章中,你已经阅读了6个漏洞,可能会把你的WordPress网站的安全风险由于黑客。希望本文能帮助您确保站点的安全,并将安全性提升到一个新的水平。
作者:Vaibhav Kakkar
