如果你没有防火墙在适当的位置或一个插件来测量这些攻击,你不会识别你是否受到攻击,除非为时已晚,黑客可以访问。在这个截图中,你可以看到我的WP精通网站每天都在遭受攻击。这些数字很低,但随着时间的推移,它们会堆积起来。自2018年10月以来,我的网站被攻击了1308次。
我并不是想在这里描绘一幅黑暗的画面,但我假设试图黑WordPress网站的攻击会增加而不是减少。原因是经济上的:WordPress网站的数量稳步增加,因此它成为越来越受黑客欢迎的目标。由于大多数黑客攻击是由自动化软件执行的,因此编写一个可以同时攻击数十万个网站的机器人可能是一项有利可图的工作。
默认情况下,WordPress网站并不是不安全的,好的网络托管公司会采取积极措施保护客户的网站。流动网络当然非常重视安全性,并且已经建立了有效的保护机制。这类似于Windows电脑随着时间的推移会被黑客入侵。由于Windows没有得到正确维护(例如,挂起的更新没有安装或未使用的软件没有卸载),WordPress还需要一些工作来保持安全。但如果你真的努力了,你会没事的。
WordPress网站如何被黑客攻击
足够的背景信息,让我们深入了解WordPress网站是如何被黑客攻击的,以及黑客是如何思考的。黑客可以利用许多入口点来访问您的网站。您将在本文中了解最重要的内容,这样您就不会意外地在您的网站上留下一扇门。
首先,你必须明白,无论你认为你的网站有多大或多小,攻击都会发生。黑客编写自动脚本,扫描整个互联网上的WordPress网站,并自动分析他们找到的每个网站。这些脚本将扫描你的网站,寻找我在下面列出的常见弱点——它们不会因为你每月只有1000名访问者就跳过你的网站。在这个世界上,小型或年轻的网站没有小狗许可证。
弱密码
针对WordPress网站的流行攻击是上面提到的暴力攻击和字典攻击。WordPress网站是如何被黑客攻击的?让我把它分解。
首先,黑客扫描你的网站,寻找注册用户的用户名或电子邮件地址。这些可以很容易地在作者档案页面上找到。黑客知道网址的最后一部分代表给定用户的用户名。有时,黑客甚至不投入工作来扫描用户名,而只是简单地尝试“管理员”、“管理员”或“root”等常见登录。
知道哪些用户名在攻击中尝试,黑客启动第二阶段。暴力攻击尝试随机组合字符、数字和特殊字符来寻找有效的密码。在这些情况下,找到一个有效的密码纯粹是运气。
另一方面,字典攻击的结构有点不同。黑客拥有包含数百万字典单词的文本文件(因此得名)。他们的脚本试图通过将这些文件中的每个单词与给定的用户名相结合来登录您的网站。
这两种攻击都会在短时间内对您的网站进行数百万次登录尝试。但是,除非您的网站通知您登录失败,否则您永远不会知道黑客脚本试图闯入您的网站。那些失败的登录只会堆积在后台,当黑客进入你的网站并对你的网站做了坏事时,你就会知道你的网站被黑客入侵了。
遗憾的是,网站仍然会以这种方式被黑客攻击,尤其是因为WordPress附带了一个密码生成器,可以让您创建安全的密码,并且很容易强制使用强密码。
过时的核心、主题或插件
黑客喜欢利用的第二个常见弱点是网站运行过时版本的WordPress、主题或插件。在找到此类攻击的示例之前,您不必搜索很长时间,只需查看WP成本估算插件版本9.644,aWordPress 4 . 9 . 8版本中的错误这可能导致远程代码执行或3.5.4之前的WooCommerce版本的安全问题。
即使这些网站有些技术性,也不要陷入陷阱,认为它们不重要,因为你不了解它们。黑客已经在积极利用这些安全问题。因此,如果其中一个示例与您的站点匹配,您应该最好创建一个您的站点的备份,并立即更新它。我是认真的,现在就做,更新完成后再来看文章。
你的“WordPress更新”屏幕现在看起来像这样吗?太好了。
即使有自动更新,我还是看到很多WordPress网站已经过时了。当与他们的所有者交谈时,我经常听到非技术性的WordPress用户担心更新会破坏东西。不管你能不能编码,你都需要定期更新你的网站。如果你对自己处理更新没有信心,托管或者像我这样的WordPress服务机构是最好的选择。
过时的PHP版本
PHP是编写WordPress大部分内容的编程语言。它也是运行在你的网络主机上的软件,可以将编程语言转换成你在浏览器中看到的网站。是的,即使你不会编码,你也需要关心PHP的更新版本。
几周前,你可能从你的托管公司收到一条消息,你需要更新你的PHP版本。随着最新的WordPress更新(5.1),您甚至会在您的仪表板中看到一条关于过时的PHP版本的消息——这就是这个主题有多重要。
2018年12月31日,PHP 5.6已经走到了生命的尽头。这意味着,如果您仍在使用它,您将不会收到任何进一步的安全补丁。众所周知的漏洞不会再被修复。如果你还在使用PHP 5.6甚至PHP 7.0(它在2018年12月3日达到了生命的尽头),你实际上是在邀请黑客闯入你的网站。
更新到PHP 7.1或7.2可能是一个平稳的过程。它会给你带来更好的加载速度和更高的安全性。即使你可能不得不雇佣一个开发人员来使你的网站的(非常旧的)遗留功能兼容,如果你关心一个稳定和安全的网站,PHP升级真的没有办法。
如何避免你的网站被黑
您刚刚了解了WordPress网站被黑客攻击的四种方式。让我们为您提供必要的知识,以避免黑客攻击在您的网站上发生。尤其是如果你不是一个网络开发人员,这些技巧可以拯救你的网站。
尝试这个简单的清单来保持保护:
为您的用户实施强密码。WordPress内置了一种机制来创建强密码密码管理器帮助您安全地管理密码。我建议任何密码至少16个字符。
投资安全托管,让你的主机至少更新到7.1版本。如果对选择哪台主机有疑问,那么液体网络就不会出错。
至少每周安装一次挂起的更新。这是我标准的一部分WordPress维护清单2019年也是如此。
删除不再使用的插件和主题。
安装工具,如Webarx或者电子邮件来保护你的网站。我不推荐WordFence,因为我们发现它在我们管理的许多客户端站点上引起了问题。
确保您的站点始终有备份。您也可以安装免费插件,如Updraft Plus或BackWPUp。
本文绝不是WordPress网站如何被黑客攻击的详尽列表,而是想让你对常见的WordPress安全风险。同样,清单也只涵盖了基础知识,你可以做更多的事情来强化你的WordPress网站。
(转载:www.tuysan.com)
