8个常见的 WordPress 问题和漏洞（以及如何修复它们）

创建 19 年后，wordpress 仍然是万维网上最受欢迎和使用最广泛的内容管理系统 (CMS) 之一。用数字来表示，超过 60% 的互联网网站是建立在 WordPress 之上的！

这种受欢迎程度带来了许多优势，例如大型开发人员社区、广泛的工具以及大量的教程和指南。但它也有一些缺点。其中之一是对黑客攻击的敏感性增加。

黑客喜欢破解 WordPress。事实上，83% 的基于 CMS 的被黑网站都是建立在 WordPress 上的。他们喜欢寻找可以利用的漏洞，不幸的是，WordPress 有一些这样的漏洞。

1.托管环境差

主机是 Internet 上的服务器计算机，用于存储为您的网站提供支持的文件。如果您希望您的 WordPress 网站可以在 Internet 上访问，则必须将其放在网络主机上。

WordPress 网站被黑的主要原因之一是托管环境不佳。根据Kinsta 的统计，这个数字在 41% 左右。因此，将近一半的 WordPress 网站黑客攻击事件是由于托管环境不佳而发生的。

您可以从上述统计数据得出结论，使用信誉良好且安全的托管服务提供商会自动将您的网站被黑客攻击的可能性大大降低。

一些顶级的 WordPress 网站托管服务提供商是 Siteground、WP Engine、Hostinger 和 Bluehost。在为您的站点选择托管服务提供商之前，请确保您进行了彻底的研究，以发现他们的服务交付质量以及他们的客户满意度。

2.随机主题和插件

WordPress 主题决定了您网站的外观，而插件则用于为您的网站添加额外的功能。两者都是包含 php 脚本的文件集合。

由于主题和插件都是由代码组成的，因此它们可能会充满错误。这是黑客用来非法访问受影响的 WordPress 网站的一种非常流行的方法。

事实上，根据 Kinsta的说法，52% 的漏洞与插件有关，11% 是由主题引起的。

黑客可以将恶意代码插入到主题或插件中，并将其发布到互联网市场。如果它随后被毫无戒心的用户安装在 WordPress 网站上，该网站就会自动受到损害，而这通常是在所有者不知情的情况下进行的。

避免这些问题的最好方法是只安装来自受信任和可靠来源的主题和插件。

3.过时的插件和主题

除了避免随机插件和主题外，您还应该使您在 WordPress 网站上安装的插件和主题保持最新。

这是因为黑客经常搜索已知存在漏洞的特定主题或插件（或特定版本）。然后他们会寻找使用此类主题或插件的网站并尝试破解它们。如果成功，他们可以在网站上执行有害操作，例如在他们的数据库中查找数据，甚至将恶意内容注入网站。

要从管理面板内部访问已安装的主题，请导航至侧边栏上的外观 > 主题。要访问插件，请导航至Plugins > Installed Plugins。

通常，当需要更新网站上使用的任何主题或插件时，您会在 WordPress 仪表板中收到警报通知。除非您有充分的理由，否则切勿忽略这些警报。

4.弱密码

弱的、易于猜测的登录凭据是黑客访问您的 WordPress 后端的最简单途径之一。大约 8% 的基于 WordPress 的网站因密码组合较弱或密码被盗而遭到黑客攻击

黑客经常使用暴力脚本在尽可能多的 WordPress 站点上迭代测试常见的用户名和密码组合。他们一直这样做，直到找到匹配为止，然后他们登录到目标站点并将凭据转售给其他黑客。

因此，您应该始终避免使用user、admin、administrator和user1等术语作为您的登录用户名。相反，创建一个不那么通用但更个性化的用户名。

要创建强而安全的密码，请牢记以下规则：

• 切勿使用个人信息（姓名、生日、电子邮件等）。

• 创建更长的密码。

• 使您的密码尽可能晦涩和无意义。

• 不要普通话。

• 确保它包含数字和特殊字符

• 永远不要重复密码。

为保护您的网站，您必须在首次设置 WordPress 时指定强用户名和密码组合。

此外，您应该设置双因素身份验证 (2FA)，为您的 WordPress 网站增加另一层安全保障。

最后，考虑使用 Wordfence 或 Sucuri Security 等安全插件来阻止暴力攻击（和其他恶意攻击）访问您的 WordPress 网站。

5.恶意软件注入

恶意软件是一种恶意软件，黑客可以将其插入您的站点并在他们想要执行计划时执行它。

可以通过多种方式插入恶意软件。它可以通过 WordPress 网站上格式良好的评论这样简单的方式注入，也可以通过在服务器上上传可执行文件这样复杂的方式注入。

在最好的情况下，恶意软件不会造成任何问题，并且可能会做一些无害的事情，比如向您的客户展示产品广告。在这种情况下，可以使用 Wordfence Security 等恶意软件扫描插件来删除恶意软件。

但在许多极端情况下，恶意软件会在服务器上执行危险操作，这可能会导致数据库中的数据丢失或类似后果，例如在 WordPress 网站上创建帐户。

解决此类最坏情况通常涉及从干净的备份中恢复您的站点，然后再弄清楚黑客是如何进入您的系统并修补漏洞的。这就是为什么定期支持您的网站非常重要。

6.网络钓鱼

在网络钓鱼攻击中，攻击者会使用看似来自您的服务器的地址发送电子邮件。攻击者通常会要求您的站点用户或客户单击链接来执行某些操作，用户可能会这样做，但不知道它实际上并非来自您的服务器。

网络钓鱼攻击有很多不同的风格，名称如猫式网络钓鱼、鱼叉式网络钓鱼等。无论哪种类型，网络钓鱼总是涉及虚假（但看起来很原始）的电子邮件地址和指向恶意页面的链接。

通常，攻击者会显示一个伪造的表单，看起来与您网站的真实登录表单相同。如果用户没有及时跟上，他或她可能会向恶意网站提交一个或多个不同的登录凭据。

最终结果是，黑客现在拥有不同的用户名和密码来对其他站点进行暴力攻击，以及准确的登录凭据来访问用户的后端。

由于电子邮件最初的设计方式，很容易伪造电子邮件的“发件人”地址，从而使网络钓鱼攻击更难阻止。

然而，如今，SPF、DKIM 和 DMARC 等技术都使电子邮件服务器可以检查电子邮件的来源并验证源域。只要这些都设置正确，收件人服务器就会检测到所有网络钓鱼电子邮件，并将其标记为垃圾邮件或从用户的收件箱中完全删除。

如果您不确定是否正确设置了 SPF、DKIM 和 DMARC，请咨询您的网络托管服务商。大多数顶级网络主机都有关于如何设置这些的简单易懂的说明。

7.拒绝服务攻击（Dos 和 DDos）

拒绝服务攻击发生在攻击者向网站服务器发送错误请求导致服务器无法处理来自合法用户的正常请求时。

在 WordPress 中，缓存服务有助于减轻 DDoS 攻击。您可以在您的网站上使用 WP Fastest Cache 等 WordPress 插件来检查 DDoS 攻击。此外，大多数顶级托管都在其基础架构中内置了 DDoS 缓解系统。

8.跨站脚本（XSS）

跨站点脚本是另一种代码注入攻击，它类似于我们之前学习的恶意软件注入。

然而，在 XSS 攻击中，攻击者会将恶意客户端脚本 (javascript) 注入站点前端的网页中，以便浏览器执行。

攻击者可能会利用此机会冒充您站点的访问者（使用他们的数据）或将他们发送到他们创建的另一个恶意站点以欺骗用户。

阻止对您的 WordPress 网站进行 XSS 攻击的最有效方法之一是安装功能强大的防火墙插件，例如Sucuri，您还可以使用它来扫描您的网站以查找 XSS 漏洞。

结论

确保您的 WordPress 网站安全可靠需要您采取主动措施来发现攻击者可以利用的漏洞。在本文中，我们介绍了八个漏洞并为每个漏洞提供了解决方案。

请记住，减轻 WordPress 网站漏洞的最佳方法是使网站的所有组件保持最新状态。这包括插件、主题甚至 WordPress 本身。不要忘记升级您的 PHP 版本。