十多年来，WordPress一直是领先的内容管理系统（CMS）之一。互联网上许多最大的博客以及许多小型个体站点都在WordPress框架上运行，用于将文本，图像和视频内容发布到万维网上。

WordPress网站同时具有前端和后端界面。前端提供了外部访问者在加载网页时将看到的视图。负责起草，设计和发布内容的站点管理员和贡献者可以访问后端。

与其他所有基于Internet的系统一样，WordPress是黑客攻击和其他形式的网络犯罪的目标。考虑到现在超过32％的Internet运行在WordPress上，这是有道理的。在本文中，我们将介绍对该软件的一些最常见的WordPress攻击，然后提供有关如何防御它们并保护您的网站安全的建议。

常见WordPress攻击方法

首先让我们看一下WordPress网站所有者可能遇到的常见攻击。

1. SQL注入

WordPress CMS平台依赖于数据库层，该数据库层存储元数据信息以及其他管理信息。例如，典型的基于SQL的WordPress数据库将包含用户信息，内容信息和站点配置数据。

黑客进行SQL注入攻击时，他们通过输入字段或URL使用请求参数来运行自定义的数据库命令。“选择”查询将允许黑客查看数据库中的其他信息，而“更新”查询将允许黑客实际更改数据。

2011年，一家名为梭子鱼网络的网络安全公司成为SQL注入攻击的受害者。黑客在整个梭子鱼网站上运行了一系列命令，最终发现了一个易受攻击的页面，该页面可用作公司主要数据库的门户。

2.跨站点脚本

跨站点脚本攻击（也称为XSS）类似于SQL注入，只是它针对网页上的JavaScript元素（而不是应用程序背后的数据库）进行攻击。成功的攻击可能导致外部访问者的私人信息受到破坏。

借助XSS攻击，黑客通过注释字段或其他文本输入将JavaScript代码添加到网站，然后在其他用户访问该页面时运行该恶意脚本。流氓JavaScript通常会将用户重定向到一个欺诈性网站，该网站将尝试窃取其密码或其他标识数据。

甚至eBay之类的流行网站也可能成为XSS攻击的目标。过去，黑客已成功将恶意代码添加到产品页面，并说服客户登录到欺骗性网页。

3.命令注入

诸如WordPress之类的平台在三个主要层上运行：Web服务器，应用程序服务器和数据库服务器。但是，这些服务器中的每一个都在具有特定操作系统的硬件上运行，例如Microsoft Windows或开源Linux，这代表了一个单独的潜在漏洞区域。

通过命令注入攻击，黑客将在文本字段或URL中输入恶意信息，类似于SQL注入。区别在于代码中将包含仅操作系统可以识别的命令，例如“ ls”命令。如果执行，它将显示主机服务器上所有文件和目录的列表。

发现某些连接互联网的摄像机特别容易受到命令注入攻击。当发出恶意命令时，它们的固件可能会将系统配置不适当地暴露给外部用户。

4.文件包含

诸如PHP和Java之类的通用Web编码语言允许程序员从其代码内引用外部文件和脚本。“ include”命令是此类活动的通用名称。

在某些情况下，黑客可以操纵网站的URL来破坏代码的“ include”部分，并获得对应用程序服务器其他部分的访问权限。已经发现WordPress平台的某些插件容易受到文件包含攻击。当发生此类黑客攻击时，渗透者可以访问主应用程序服务器上的所有数据。

保护提示

现在您知道了要寻找的东西，这里有一些简单的方法可以增强WordPress的安全性。显然，保护您的网站的方法比下面提到的要多，但是这些方法相对简单，从一开始就可以为遭受挫败的黑客带来可观的回报。

1.使用安全主机和防火墙

WordPress平台可以从本地服务器运行，也可以通过云托管环境进行管理。为了维护安全的系统，首选托管选项。在顶部的WordPress主机市场将提供SSL加密和其他形式的安全保护。

在配置托管WordPress环境时，启用内部防火墙以保护应用程序服务器与其他网络层之间的连接至关重要。防火墙将检查层之间所有请求的有效性，以确保仅允许处理合法请求。

2.不断更新主题和插件

WordPress社区中充斥着第三方开发人员，他们不断致力于开发新主题和插件以利用CMS平台的功能。这些附加组件可以免费或付费。插件和主题始终应直接从WordPress.org网站下载。

外部插件和主题可能会有风险，因为它们包含将在您的应用程序服务器上运行的代码。仅信任来自信誉良好的来源和开发人员的加载项。此外，由于开发人员将发布安全性改进，因此您应定期更新插件和主题。

在WordPress管理控制台中，“更新”标签位于“仪表板”菜单列表的最顶部。

3.安装病毒扫描程序和VPN

如果您在本地环境中运行WordPress或通过托管服务提供商具有完全的服务器访问权限，则需要确保在操作系统上运行可靠的病毒扫描程序。像Virus Total这样的免费工具可以扫描您的WordPress网站，它将检查所有资源以查找漏洞。

从远程位置连接到WordPress环境时，您应始终使用虚拟专用网络（VPN）客户端，这将确保本地计算机和服务器之间的所有数据通信均得到完全加密。

4.锁定蛮力攻击

WordPress最受欢迎和最常见的攻击之一是所谓的蛮力攻击。这无非是黑客在“前门”放松的自动化程序。它坐在那里，尝试了成千上万种不同的密码组合，并偶然发现正确的密码组合，以使其值得使用。

好消息是，有一种简单的方法可以消除暴力。坏消息是太多的网站所有者没有应用此修复程序。查看All in One WP安全性和防火墙。它是免费的，允许您对登录尝试设置硬性限制。例如，在尝试三次后，插件会将该网站锁定该IP地址，以阻止该IP地址在预设的时间长度内再次登录。您还会收到一封电子邮件通知，说明锁定功能已触发。

5.两方面身份验证

这种保护网站安全的好方法是，黑客可能无法同时控制两个设备。例如，一台电脑和一部手机。两因素身份验证（2FA）将登录到您的网站网站分为两个步骤。和往常一样，您以常规方式登录，但是随后会发现提示您输入发送到手机的其他代码。

聪明吧？通过将登录分为不同的步骤，这一额外的步骤以指数方式提高了站点的安全性。检查此免费插件列表，以帮助您设置2FA。那些试图与您的网站搞混的黑客可能已经改变了主意。

结论

虽然没有100％安全的网站之类的东西，但是您可以采取许多步骤来保护您的网站。使用好的防火墙，让您的主题和插件保持最新状态，并定期运行病毒扫描，可以带来很大的不同。

将网站安全性视为永恒的迭代过程可能会有所帮助。当您退后一步并认为它是“完整的”时，永远不会有任何意义，因为黑客和网站防御者之间的游戏将永远不会停止，即使是官方认可的在线玩家也将进入在线监控业务。只有让自己了解最新威胁以及如何应对这些威胁，您才能维护网络安全和在线隐私。

世界必须这样走，但是接受它并继续前进，这太糟糕了。如果您从未做过，那么现在将是查找一些著名的网络安全新闻站点的好时机。订阅他们的新闻通讯或至少定期访问。通过运行Google（或您选择的搜索引擎）搜索“网络安全新闻”来开始使用。

---

---

需要提供WordPress主题/插件的汉化服务可以随时联系我们！另外成品WordPress网站以及半成品WordPress网站建设，海外Google SEO优化托管服务，百度SEO优化托管服务，Centos/Debian服务器WP专用环境搭建，WP缓存服务器搭建，我们都是你的首选，拥有多年WP开源程序服务经验，我们一直在坚持客户体验，没有最好，只有更好！