10 个常见的 WordPress 安全问题以及如何解决它们

随着 WordPress 越来越受欢迎，安全漏洞的威胁也越来越大。 随着数以百万计的网站在 WordPress 上运行，它已成为寻求利用漏洞的黑客和网络犯罪分子的主要目标。

无论是过时的软件、弱密码还是不安全的文件权限，许多安全问题都会使您的 WordPress 网站面临风险。 在本文中，我将向您介绍常见的 WordPress 安全问题及其修复方法。

WordPress 安全概述

尽管如此受欢迎，但许多 WordPress 用户并不了解保护其网站的基础知识。 更糟糕的是，许多用户相信（非常危险的）误解，即安装 SSL 证书足以保护他们的站点。

Sucuri 的联合创始人Dre Armeda在接受 Cloudways 采访时提到，“人现在是并将继续是 WordPress 最大的安全问题。”

我也相信 WordPress 一半的安全漏洞是因为疏忽而发生的。 这是 WordPress 网站很容易成为网络犯罪分子目标的一个重要原因。 许多初次使用的用户只是简单地安装 WordPress，然后信任默认的安全机制。

这样做会使您的网站面临网络威胁。 为了保护您的网站免受恶意流量和 DDoS 攻击，您必须选择安全的 WordPress 托管并结合最佳安全实践。

为什么 WordPress 安全很重要？

作为一个开源平台，WordPress 仍然容易受到安全攻击。 对 WordPress 知之甚少的人可以尝试破解它，这使得它非常不安全。

WordPress 支持近43%的在线网站。 安全漏洞可能导致敏感信息丢失，包括用户数据、财务信息和登录凭据，这可能会对企业的声誉和收入造成严重损害，并导致法律后果。

查看下图以了解保护您的 WordPress 网站的重要性。

谁负责安全？

保持 WordPress 站点安全是网站所有者、托管服务提供商和 WordPress 社区的共同责任。

网站所有者的责任

保持 WordPress 网站安全的主要责任落在网站所有者身上。 这是网站所有者必须确保网站安全的清单。

• 更新了 WordPress 核心；
• 更新了主题和插件；
• 更新了 PHP 版本；
• 安全的 WordPress 托管；
• 强密码和 2FA；
• 安装安全插件；
• 定期安全扫描。

托管服务提供商的责任

负责任的托管服务提供商必须维护服务器的安全并确保它们满足行业标准的安全要求。 如果您的网站出现问题，安全的虚拟主机将拥有经过行业验证的安全流程和您的支持。

虽然您有不同的托管服务提供商可供选择，但托管云托管是更好的选择，因为它管理服务器的所有方面，包括服务器端安全、定期补丁和更新。

在安全性方面，Cloudways 凭借其广泛的安全功能赢得了比赛。 SafeUpdates for WordPress可帮助您节省时间、提高安全性并轻松实现网站自动化。

资料来源：WordPress/Cloudways 的安全更新

这些是 Cloudways 为其用户提供的一些安全功能。 通过托管托管，网站所有者可以利用这些安全功能并专注于提高他们的在线形象，而提供商则负责技术细节。

WordPress 社区的责任

与 WordPress 社区相关联的开发人员也可以在提高网站安全性方面发挥作用。 这是他们可以遵循的清单，以确保 WordPress 的安全。

• 发布更新和补丁以解决漏洞；
• 保持 WordPress 主题和插件是最新的；
• 提高 WordPress 核心安全性的研究。

WordPress漏洞的来源

作为一个开源平台，WordPress 仍然容易受到安全攻击。 对 WordPress 知之甚少的人可以尝试破解它，这使得它非常不安全。

根据 WPScan 的WordPress 漏洞统计，过时或有故障的插件使网站最容易受到攻击，而主题和 WordPress 版本也在使网站容易受到安全攻击方面发挥作用。

资料来源：WPScan

此外，统计数据显示，免费主题和插件使网站的安全性低于高级主题和插件。

– 资料来源：WPScan

常见的 WordPress 安全问题

以下是一些常见的 WordPress 安全问题及其修复：

1. 过时的 WordPress 核心

WordPress Core 可能是使 WordPress 网站容易受到安全威胁的主要原因之一。

每三个月后，WordPress 开发人员会为 WordPress 网站推出更新，建议用户手动或自动保持核心更新。 这些版本旨在通过错误修复和错误解决来提高 WordPress 的安全性。

更新 WordPress 核心可提高您网站的安全性、性能和功能。 如果您不更新它，您将无法更新您的主题和插件。 这将使您的网站更容易受到安全威胁。

解决方案

您只需更新您的 WordPress 网站即可解决此问题。 您需要做的就是检查您的站点是否有更新。 您需要按照以下步骤操作。

• 转到您的WordPress 仪表板 → 更新；
• 尽可能更新最新版本。

– 资料来源：WordPress 仪表板

专业提示：如果您想避免手动备份和更新网站的麻烦，您可以使用 Cloudways SafeUpdates 功能。

为了自动化 WordPress 更新过程并顺利简化维护过程，Cloudways 引入了 SafeUpdates 。 它可以帮助您无差错地检测、测试和部署更新。

– 来源：Cloudways 平台

2. 过时的主题和插件

WordPress 主导 CMS 市场的原因之一是它的定制能力。 丰富的插件和主题库使用户可以更轻松地使用 WordPress 网站，而无需手动添加功能和设计的麻烦。

但是您知道过时的主题和插件会使网站容易受到安全威胁吗？

主题和插件必须不断更新以与您的 WordPress 网站的当前版本保持一致。 主题和插件开发人员经常发布更新以向站点添加额外的功能和安全层。

解决方案

您可以从 WordPress 控制面板更新主题和插件。 您需要按照以下步骤操作。

• 转到您的WordPress 仪表板 → 更新；
• 单击更新插件。

– 资料来源：WordPress 仪表板

• 单击更新主题。

– 资料来源：WordPress 仪表板

3. 恶意软件感染

几乎每个站点都容易受到恶意软件的攻击。

但是对于 WordPress，问题变得严重，因为更容易获得未经授权的访问。 黑客可以在插件和主题中寻找安全问题，并模仿这些问题来攻击网站。

解决方案

您可以通过采取以下措施来防止恶意软件问题。 您需要按照以下步骤操作。

• 安装前仔细检查插件和主题；
• 定期安全扫描以检测驻留在您站点中的任何潜在恶意软件；
• 您可以安装用于恶意软件检测和删除的插件，例如MalCare 、 WordFence 、 Sucuri等。

Cloudways 托管还提供Malcare Bot Protection以识别和阻止恶意流量并防止攻击。 检查如何激活机器人保护以保护您的 WordPress 网站。

4.信用卡略读

通常，黑客将恶意 JavaScript 代码注入网站以窃取敏感信息，例如信用卡号、有效期和 CVV 代码。 这种行为称为信用卡略读。

从长远来看，信用卡窃取可能会造成重大财务损失并损害您的业务。 如果您的网站使用 WordPress，您可能最容易受到这种攻击，因为它是一个开源平台，而且黑客拥有足够的专业知识来深入研究细节。

解决方案

您可以通过采取以下措施来防止此类攻击。

• 安装像Sucuri SiteCheck这样的监控工具来扫描您的网站是否存在恶意活动。

– 资料来源：Sucuri

• 使用最新的安全补丁和软件更新更新站点及其组件。
• 使用防火墙、入侵检测系统和 SSL 证书等安全工具进一步保护站点和敏感信息。

5. 未经授权的登录

蛮力攻击会导致未经授权的登录。

它涉及尝试各种密码组合以闯入网站的连续重复尝试。 黑客尝试使用他们在其他计算机上恶意安装的机器人来提高运行此类攻击所需的功率。

蛮力攻击如此容易发生的主要原因有两个。

1. WordPress 站点的默认后端登录页面很容易找到，因为它以wp开头。 这减少了黑客的猜测。
2. WordPress 网站所有者保留弱密码和登录凭据。

解决方案

您可以通过采取以下措施来防止此问题。

• 更改默认的wp-admin登录 URL 会使黑客难以对您的 WordPress 网站发起暴力攻击。
• CAPTCHA 被认为是抵御暴力攻击的最佳保护措施之一。 阅读有关如何将 Google 隐形 reCAPTCHA 添加到 WordPress 的更多信息。
• 强烈建议为网站使用不同但强度高的密码，例如社交媒体和电子邮件帐户。
• 要在您的网站上强制使用强密码的习惯，您应该使用 WP White Security 的WPassword来强制执行强密码策略。

6. 结构化查询语言 (SQL) 攻击

SQL 注入是攻击者在您网站的不同区域（特别是评论框和文本区域）嵌入 SQL 命令的攻击。 这些命令可能会危及 SQL 数据库，并可能泄露存储在数据库中的敏感信息。

通过添加 PHP 语句修改 URL 是对 WordPress 安全的另一个潜在威胁，攻击者可以在其中触发对数据库和其他网站组件的攻击。

大多数 WordPress 站点都托管在 Apache 服务器上，并采用巧妙的技巧来应对这些攻击。 所有 Apache 服务器都有一个文件 .htaccess，它定义了网站的访问规则。

解决方案

要防止 SQL 注入攻击和 URL 黑客攻击，请按照以下步骤操作：

• 使用准备好的语句或参数化查询
• 验证用户输入
• 使用最低权限访问
• 定期更新您的软件和数据库
• 使用 Web 应用程序防火墙 (WAF)
• 使用加密。

7. 搜索引擎优化 (SEO) 垃圾邮件

SEO 垃圾邮件针对网站的 SEO。 黑客在排名靠前的页面上注入垃圾关键字和弹出式广告，并试图破坏公司的声誉和收入。

这些是 SEO 垃圾邮件发生的几个原因。

• 过时的插件和主题；
• 未定义的用户角色；
• 垃圾内容；
• 安全检查薄弱。

解决方案

如果您的 WordPress 网站受到 SEO 垃圾邮件的影响，您可以采取几个步骤来清理它。

• 删除任何可疑或不需要的插件和主题；
• 删除任何垃圾内容；
• 更新您的密码；
• 定期监控您的网站；
• 使用Wordfence等安全插件；
• 向 Google报告问题。

8.跨站脚本（XSS）攻击

跨站点脚本 (XSS) 攻击允许攻击者将恶意代码注入网站，然后由访问受影响页面的任何用户的浏览器执行。

这可能会导致敏感信息丢失或被滥用，例如登录凭据或个人数据，也可能被用来执行其他攻击，例如网络钓鱼或恶意软件传递。

解决方案

为了防止 WordPress 中的 XSS 攻击，遵循最佳实践非常重要，例如：

• 验证和净化用户输入；
• 保持插件和主题更新；
• 保持 WordPress 核心更新；
• 使用 Web 应用程序防火墙 (WAF) 检查流量并防止未经批准的访问者入侵您的系统。

专业提示：如果您使用的是 Cloudways，则不必担心。通过 Cloudways 启动的所有服务器都预装了防火墙，作为您网站的第一道防线。

9. 分布式拒绝服务 (DDoS) 攻击

当攻击者通过受感染的网络或计算机向单个目标发送流量时，就会发生 DDoS 攻击。

庞大的流量会使网站的服务器不堪重负，导致用户无法访问。 就 WordPress 而言，DDoS 攻击会导致严重停机、性能下降、收入损失以及网站声誉受损。

解决方案

为了保护您的网站免受恶意流量和 DDoS 攻击，您必须选择安全的 WordPress 托管与顶级安全插件相结合。

• 使用 CDN 来分配传入的流量负载，并通过在流量到达您的网站之前吸收流量来保护您的网站免受 DDoS 攻击。
• 有几个适用于 WordPress 的 DDoS 保护插件可以帮助您保护您的网站免受 DDoS 攻击。
• 寻找提供 DDoS 保护并确保其服务器能够处理高流量的托管服务提供商。

专业提示： Cloudways 提供Cloudflare Enterprise附加组件，可在 3 秒内缓解 DDoS 攻击。

10. 文件包含漏洞

WordPress 安装包含多个敏感文件，例如wp-config.php 、 install.php和readme.html。 这些文件必须对所有外部访问隐藏起来。

文件包含漏洞允许攻击者通过包含来自外部源的恶意文件在网站上执行任意代码。 当网站包含来自外部源的文件而没有正确验证或清理文件路径时，就会发生这种情况。

解决方案

要解决此问题， .htaccess 文件会派上用场。

您可以将以下行添加到文件中以防止重要文件被损坏。 以下代码片段还可以防止访问用户目录列表并隐藏敏感的服务器和 WordPress 文件以防止未经授权的访问。

 期权全指数


<文件.htaccess>
订单允许、拒绝
全部拒绝
</文件>


<文件 farhan.php>
订单允许、拒绝
全部拒绝
</文件>


<文件许可证.txt>
订单允许、拒绝
全部拒绝
</文件>


<文件安装.php>
订单允许、拒绝
全部拒绝
</文件>


<文件 wp-config.php>
订单允许、拒绝
全部拒绝
</文件>


<文件错误日志>
订单允许、拒绝
全部拒绝
</文件>


<文件 fantastico_fileslist.txt>
订单允许、拒绝
全部拒绝
</文件>


<文件 fantversion.php>
订单允许、拒绝
全部拒绝
</文件>

概括

安全对于 WordPress 网站至关重要，有必要采取措施来防止安全威胁。 保持软件和插件更新，使用强密码，启用双因素身份验证，并使用安全插件。

选择安全的托管服务提供商，只使用信誉良好的主题和插件，并定期备份。 通过采取这些步骤，您可以降低安全风险并确保 WordPress 网站的安全。

此外，我强烈建议用户通过使用安全审核插件和首选的WordPress 安全插件来记录 WordPress 上发生的事情，这可以增强 WordPress 抵御在线威胁的能力。

经常问的问题