當(dāng)前位置:首頁 >  站長 >  搜索優(yōu)化 >  正文

WordPress用戶必知:網(wǎng)站被黑原因及防護

 2015-03-20 15:12  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

WordPress 的確是一個很出色的平臺,有著豐富的第三方插件和主題,也給博客主和廣大讀者提供了很棒的體驗。但是,如果你不重視網(wǎng)站安全的話,你的博客很快就會成為黑 客眼中甜美的蛋糕了。在本文中,我們將會討論到一下 WordPress 的安全隱患和一些應(yīng)對方法。

問題出在哪了?

對于一個像 WordPress 一樣復(fù)雜的 CMS,用戶的程序是在不同的服務(wù)器上運行的,第三方插件,第三方主題也可能會存在一些缺陷。當(dāng)破壞者通過某些缺陷進入了你的網(wǎng)站的話,你就有麻煩了。

如果你運行的是一個易受攻擊的 WordPress,黑客可以進行以下幾種破壞:

1、在你的網(wǎng)站上執(zhí)行任意代碼。

2、注入腳本,HTML代碼或者是直接編輯你的帖子。

3、導(dǎo)致無法訪問(使網(wǎng)站崩潰,CPU 和帶寬過載)。

4、注入或者執(zhí)行 SQL 命令。

5、獲取重要數(shù)據(jù),例如你的密碼。

6、把用戶帶到另外的網(wǎng)站,可能還是釣魚網(wǎng)站。

7、跨站偽造記錄(CSRF)。

8、在你的網(wǎng)站上創(chuàng)建一個隱藏的帖子,這個帖子只對搜索引擎可見,而且是導(dǎo)向到黑客的站點的。

9、植入后門。這樣就算你修復(fù)了那些缺陷黑客還是可以進入你的網(wǎng)站。

10、在你的 PHP 核心代碼和主題文件里面植入一段加密代碼。

被黑的主要原因

一個很重要的原因就是你用的是過時的東西,比如 WordPress 核心程序,插件,主題。這就是為什么現(xiàn)在有那么多的相關(guān)服務(wù)來把升級變得更簡單。其中 WP remote 和 InfitniteWP 是兩個免費又好用的服務(wù)。

還有一些其他常見的原因:

1、在下載了沒有來源的主題,通常這些主題都是有后門的。

2、從一個感染了病毒的電腦進入你的 WordPress 網(wǎng)站。

3、管理員帳號的密碼過于簡單。

在哪里獲得最新的漏洞信息

在 WordPress 3.X,已知的漏洞已經(jīng)有30個,如果你的 WordPress 還是更舊的版本,漏洞就會更加多。這里有一個 Secunia 提供的所有已知 WordPress 漏洞的列表,或者你可以直接去關(guān)注一下 WordPress 的開發(fā)進展,訂閱開發(fā)團隊的博客 WordPress development blog。

給你的博客上把鎖

1、定時備份博客。這樣就能確保你在任何時候都可以重建網(wǎng)站。

2、確保你的 WordPress 核心系統(tǒng)是最新的。

3、確保插件和主題是最新的。

4、不要使用未知來源的主題,通常都是有后門的,特別是那些放到免費網(wǎng)盤里面的破解主題。

5、用一個沒有其他站點使用過的高強度密碼。

6、確保你用來登錄 WordPress 站點的電腦是沒有病毒的。

7、監(jiān)控服務(wù)器和用戶數(shù)據(jù),調(diào)查可疑的行為。

8、使用空白的 index.html 文件來禁止其他用戶訪問主題和插件目錄。

9、在你的 meta 描述里面把你的 WordPress 版本好去掉。

10、通過 htaccess 文件來保護 WordPress 的 wp-admin 文件夾。

還有一些很好用的插件,我個人推薦以下幾個:

Wordfence 提供免費的防火墻,病毒掃描,和流量監(jiān)控。

Bulletproof 針對 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防護。

Better WordPress security 提供傻瓜式的操作。

Lockerpress 自定義登錄 URL,更換管理員,還有一些自定義過濾的選項。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標簽
網(wǎng)站被黑原因

相關(guān)文章

熱門排行

信息推薦