为什么 WordPress 网站被黑客入侵以及如何防止它？

网络犯罪分子通常不仅针对 WordPress 网站，还针对所有其他网站。 WordPress 由于其广受欢迎和来自世界各地的大量用户而更频繁地成为目标。 这使黑客可以轻松找到易受攻击的 WordPress 站点并发起网络攻击以危害这些站点的安全并操纵其资源。

有些人试图攻击不安全的网站只是为了检查他们的技能，但他们大多数这样做是为了访问网站上的用户详细信息、资源等，以实现他们的恶意计划。

为什么 WordPress 网站会被黑客入侵？

确保您的 WordPress 网站免受黑客攻击是当务之急。 考虑到所有这些，让我们探索 WordPress 网站被攻击者入侵的原因以及您可以采取哪些措施来阻止这些攻击。

1. 不安全的网络托管

WordPress 托管在网络主机上，就像其他所有网站一样。 可悲的是，大多数网站所有者并没有足够重视他们选择的网络服务器，并使用他们可以获得的最便宜的网络服务器，甚至使用免费的 WordPress 托管。

有许多负担得起的 WordPress 托管服务提供商。 例如，在共享托管网络上托管您的网站相当便宜——该网络与其他几个网站共享其服务器设施。

在共享主机系统中，成功入侵此服务器上任何站点的安全漏洞将使您的域容易受到攻击者的攻击。 单个受感染站点可以使用最大服务器带宽并影响所有其他网站的性能。

这可以通过为您的域选择正确的 WordPress 托管服务来防止。 确保您的网站托管在稳定的托管网络上。 完全安全的服务器可以阻止几乎所有对 WordPress 站点的已知威胁。

推荐的托管服务提供商是 GreenGeeks、SiteGround、InMotion 托管、Cloudways、10Web（查看 10Web 评论）等。

2. 使用弱密码

弱密码是对 WordPress 网站进行暴力攻击的主要原因之一。 即使如今网络攻击的风险增加，人们仍然使用“mypassword”或“012345”等糟糕的密码。 如果您使用任何像这样“简单猜测”的密码，那么您很容易成为黑客的受害者，黑客可以使用各种黑客工具方便地破解您的密码。

通过使用任何人都无法猜到的强密码，您可以毫不费力地解决这个问题。 由字母、数字和特殊字符组合而成的密码可提高其强度。

3. 对 WordPress 管理目录的不安全访问

WordPress 管理部分允许一个人访问您的 WordPress 帐户以执行各种活动。 它也是 WordPress 平台经常成为目标的区域。

让它易受攻击使黑客能够使用各种方法破解网站。 您可以通过在您的 WordPress 管理目录中包含验证层来使其具有挑战性。

您必须首先使用强密码保护您的 WordPress 管理字段。 这增加了一个额外的安全层，任何试图进入 WordPress 管理员的人都必须提供额外的密码。

如果您正在运行 WordPress 多作者或多用户站点，那么您必须在您的站点上为所有个人实施安全密码。 为了使攻击者访问您的 WordPress 管理员变得更加复杂，您可以利用双因素身份验证方法。

4.过时的WordPress版本

过期的软件是网站遭到入侵的最可能原因之一。 虽然 WordPress 是免费的，而且许多网站所有者一推出就更新到当前版本，但大多数用户推迟升级到最新版本，因为他们担心新版本会导致他们的网站出现问题。 更新期间可能会出现问题，因此最好等待更新。 但不要等太久。

新版本的 WordPress 软件解决了以前版本中的错误和安全漏洞。 如果您没有升级 WordPress 网站，那么您就是故意让它不受保护。

如果您担心升级会破坏您的网站，您可以在启动更新或测试临时站点上的所有内容之前创建完整的 WordPress 备份。 如果在软件升级后出现任何问题，此方法可帮助您快速返回到早期版本。

对于好的备份插件，您可以查看免费的 WordPress 备份插件比较、BackupBuddy 评论和 WPvivid 评论。

5. 过时的 WordPress 插件和主题

与之前的案例类似，攻击者还可以从站点上安装的过时、禁用或过时的插件和主题中获益。 从各种站点上提供的可下载主题和插件的长列表中下载插件或主题很容易。

在 WordPress 插件和主题中经常发现安全漏洞和故障。 主题和插件开发人员通常不会花太多时间来修复这些错误。 他们很快推出了一个新的更新，涵盖了早期版本中发现的安全漏洞。 但是，如果网站所有者不升级他们的主题或插件，开发人员将无能为力。

6. 使用 FTP 而不是 SFTP

文件传输协议 (FTP) 用于将文件上传到您的站点。 使用 FTP 客户端（像 FileZilla 这样的桌面应用程序）来完成这项工作。 几乎所有的网络主机都允许使用各种协议的 FTP 连接。

如果您使用普通 FTP连接，那么您的文件将不安全地传输到服务器。 在这种情况下，任何拦截传输的人都可以读取数据。 因此，为了保护您的站点免受任何安全威胁，您应该始终使用安全文件传输协议(SFTP) 或 SSH。 这确保您的所有数据都以安全的方式发送，并且没有人可以为了自己的利益而操纵它。

7. 容易猜到管理员用户名

除了弱密码外，人们还使用简单的用户名，很容易猜到。 这涉及管理员用户的典型用户名，例如“admin”、“adminA”或“admin123”。 常用的管理员用户名使网络犯罪分子可以轻松进入管理员配置文件并监控后端文件。

如果您使用此类用户名或黑客可以轻松预测的任何其他用户名，则必须将这些用户名更改为独特且复杂的用户名。 WordPress 有六个单独的权限受限用户角色。 仅将管理员访问权限授予真正需要它来完成任务的人。

8. 不安装 SSL 证书

SSL（安全套接字层）证书保护用户发送和接收的数据。 如果您的 WordPress 站点没有有效的 SSL 证书，那么它很容易被网络犯罪分子攻破。 他们可以拦截和读取以明文形式传输的信息。 在您的 WordPress 站点上安装 SSL 证书可帮助您通过加密保护您的数据。

SSL 证书不仅可以保护您的网站免受恶意攻击者的侵害，还可以提高其 SEO 排名、增加用户信任并提高您网站的访问量。

要获得 SSL 证书，您可以联系您的托管服务提供商或从任何可靠的 SSL 提供商处购买。 如果你想获得一个免费的 SSL 证书，那里有一些很好的证书，比如Let's Encrypt 。 您可以查看我的指南，了解如何免费向 WordPress 站点添加 SSL 证书。

9. 不使用防火墙

欺诈者为何可以绕过网站保护机制并渗透后端服务的另一个明显答案是没有防火墙软件。 防火墙是防御攻击者的最后一层保护，就像您家中安装的安全警报器一样运行。

防火墙跟踪来自不同 IP 地址的 Web 查询。 当防火墙遇到任何可疑请求时，它们会立即停止该进程并显示有关该软件或链接的警告消息。

他们可以检测和禁止过去被认为是欺诈的查询，从而阻止黑客访问您的网站。 各种威胁，例如蛮力攻击、跨站点脚本和 SQL 注入，都可以被防火墙应用程序阻止。

10. 使用空主题和插件

许多网站都免费分发付费的 WordPress 插件和主题。 许多网站所有者被这些诱人的优惠所吸引并在他们的网站上使用那些无效的插件和主题，这并不奇怪。

但是从不可靠的网站安装WordPress 主题和插件是非常危险的。 它们不仅会对您网站的保护造成威胁，而且还可以被利用来捕获机密数据。 稍后，此信息可用于执行恶意任务。

不要使用无效的 WordPress 主题和插件。 WordPress 插件和主题只能从信誉良好的网站或官方渠道下载，例如插件/主题创建者网站或官方 WordPress 存储库。

如果您无法购买或不想购买付费插件或主题，则可以使用许多免费的等价物。 这些免费扩展可能不如它们的高级变体有效，但它们会为您完成工作，最重要的是确保您网站的安全。

11. 未受保护的 wp-config.php 文件

wp-config.php WordPress 配置文件包含您的 WordPress 站点的登录详细信息。 如果它被黑客入侵，它将暴露可能为攻击者提供对您的 WordPress 网站的完全访问权限的数据。 您可以通过使用 .htaccess拒绝访问 wp-config文件来包含额外的安全层。

如何防止网站被黑客入侵 结论

WordPress 是一个强大的平台，用于开发出色的网站来开展各种业务。 其吸引人的功能、插件和主题以及简单的用户界面使其成为世界上使用最广泛的平台之一。

但这个平台也在网络犯罪分子眼中，他们不断尝试新技术来损害您的 WordPress 网站的安全性。 了解 WordPress 网站被黑客入侵的原因是进行必要的安全实施的第一步。 如果存在漏洞，您必须立即删除它们以保护网站免遭入侵。

另外，不要被许多 WordPress 安全神话所迷惑。 保护站点的最佳方法是使用安全插件。 检查 iThemes 安全审查、MalCare 审查或隐藏我的 WP 审查，然后选择最适合您需求的插件。