最常见的 WordPress 安全问题发生在您的网站受到威胁之前或之后。黑客的目标是从前端(您的 WordPress 仪表板)或服务器端(通过插入脚本或恶意文件)在管理员级别获得对您的 WordPress 网站的未授权访问。
以下是北京六翼总结的 5 个最常见的 WordPress 建站安全问题:
- 蛮力攻击
WordPress暴力攻击是指反复输入多个用户名和密码组合直到发现成功组合的试错法。暴力攻击方法利用最简单的方式访问您的网站:您的WordPress 登录页面。
默认情况下,WordPress 不限制登录尝试,因此机器人可以使用暴力攻击方法攻击您的 WordPress 登录页面。即使暴力攻击不成功,它仍然会对您的服务器造成严重破坏,因为登录尝试会使您的系统超载并降低您的网站速度。当您受到暴力攻击时,由于系统过载,一些主机可能会暂停您的帐户,特别是如果您使用的是共享主机计划。
2.跨站脚本(XSS)
2021 年披露的所有 WordPress 安全漏洞中有 54.4% 被称为跨站点脚本或 XSS 攻击。跨站点脚本漏洞是 WordPress 插件中最常见的漏洞。
跨站点脚本的基本机制是这样的:攻击者找到一种方法让受害者加载带有不安全 javascript 脚本的网页。这些脚本在访问者不知情的情况下加载,然后用于从他们的浏览器中窃取数据。跨站攻击的一个示例是似乎驻留在您网站上的被劫持表单。如果用户将数据输入该表单,则该数据将被盗。
- 文件包含漏洞利用
在暴力攻击之后,WordPress 网站的 PHP 代码中的漏洞是攻击者可以利用的下一个最常见的安全问题。(PHP 是运行您的 WordPress 网站以及您的插件和主题的代码。)
当易受攻击的代码用于加载允许攻击者访问您的网站的远程文件时,就会发生文件包含攻击。文件包含漏洞利用是攻击者获取 WordPress 网站的 wp-config.php 文件访问权限的最常见方式之一,该文件是 WordPress 安装中最重要的文件之一。
4.SQL注入
您的 WordPress 网站使用 MySQL 数据库进行操作。当攻击者获得对您的 WordPress 数据库和所有网站数据的访问权限时,就会发生SQL 注入。
通过 SQL 注入,攻击者可以创建一个新的管理员级别用户帐户,然后可以使用该帐户登录并获得对您的 WordPress 网站的完全访问权限。SQL 注入也可用于将新数据插入数据库,包括恶意网站或垃圾网站的链接。
5.恶意软件
恶意软件是一种用于未经授权访问网站以收集敏感数据的代码。被黑的 WordPress 网站通常意味着恶意软件已注入您网站的文件中,因此如果您怀疑网站上有恶意软件,请查看最近更改的文件。
尽管 Web 上有数千种类型的恶意软件感染,但 WordPress 并非对所有这些都容易受到攻击。四种最常见的 WordPress 恶意软件感染是:
后门
路过式下载
制药黑客
恶意重定向
这些类型的恶意软件中的每一种都可以通过手动删除恶意文件、安装新版本的 WordPress 或从以前未受感染的备份恢复您的 WordPress 站点来轻松识别和清除。