WordPress網站被駭客攻擊的11個原因

最近，我們經常看到WordPress網站被駭客攻擊的文章，而我自己也有這樣的親身體驗，發現WordPress網站遭到駭客攻擊後，讓人感覺很無奈。下面我們將分享WordPress網站被駭客攻擊的主要原因，來避免一些操作不當的小細節並保護網站。

為什麼WordPress被駭客攻擊？

其實，不只是WordPress被駭客攻擊，網際網路上的所有網站都容易遭受駭客攻擊。很多人覺得被駭客攻擊的網站都是WordPress網站，原因是WordPress是世界上最受歡迎的建站平臺，佔全球網站的31％，約數億個網站。這種網站的覆蓋面積能吸引駭客找到一些不太安全的網站，從而攻擊利用它們。

不同駭客攻擊網站的動機也不一樣，對於初學者來說，他們只是想利用你網站的不安全進行駭客練習。而對於一些惡意的駭客，他們想利用你的網站，分發惡意軟體，攻擊其他網站，或傳送垃圾郵件到網際網路。

1、伺服器不安全

WordPress網站託管在Web伺服器上，一些託管公司沒有采取妥善的保護措施，這可能會使網站容易受到駭客攻擊。選擇大型比較正規的伺服器或虛擬主機，可以避免這種情況。適當安全的伺服器可以阻止許多對WordPress站點的最常見攻擊。

2、密碼太弱

密碼是WordPress網站的關鍵。需要保證下面每個帳戶使用強密碼，因為它們都可能會被駭客攻擊，然後獲取網站的完全訪問許可權。

WordPress管理員帳戶

Web主機控制面板帳戶

FTP帳戶

MySQL資料庫帳戶

WordPress管理員或電子郵件帳戶

使用弱密碼可以讓駭客很容易的利用一些破解工具暴力破解。將賬號密碼設定強大一點，可以避免這種情況。

3、沒有新增wp-admin目錄保護

WordPress管理後臺提供了操作網站的許可權，它也是WordPress站點中最常被攻擊的區域。可以向WordPress管理目錄新增身份驗證，來使攻擊變得困難。

首先，應該設定強密碼的管理員後臺賬號，如果有多作者或多使用者，還需要為網站新增對所有使用者強制使用強密碼。另外，還可以新增雙重身份驗證，使駭客更難進入WordPress管理後臺。

4、檔案許可權不正確

檔案許可權是Web伺服器使用的一組規則，這些規則可以控制訪問網站上檔案的許可權。不正確的檔案許可權可以讓駭客有權編寫和更改這些檔案。所有WordPress檔案都應具有644許可權，所有資料夾都應具有755許可權。

5、沒有更新WordPress

一些站長擔心更新WordPress會破壞網站資料和結構，其實，WordPress的每個新版本都在修復錯誤和安全漏洞。如果不及時更新WordPress，這些漏洞很容易遭到駭客攻擊。如果擔心更新會破壞網站，可以在更新前對網站進行完整備份。

6、沒有更新外掛和主題

跟WordPress核心程式一樣，更新主題和外掛同樣重要。使用過時的外掛或主題可能會使網站遭到攻擊。在WordPress外掛和主題中發現安全漏洞和錯誤，其作者會快速修復它們。但如果使用者沒有及時更新，就可能給駭客造成可乘之機。

7、使用了普通FTP而不是SFTP / SSH

FTP用於將檔案上傳到Web伺服器，大多數伺服器提供商使用了不同的協議支援FTP連線。我們可以使用普通FTP，SFTP或SSH進行連線。

當使用普通FTP時，密碼將以未加密的方式傳送到伺服器，它可能會被窺探並輕易被盜，我們應該儘量不用普通FTP。

8、使用Admin作為WordPress使用者名稱

建議不要使用“admin”作為WordPress使用者名稱。如果管理員使用者名稱是admin，應立即改為其他使用者名稱。

9、盜版的主題和外掛

網上有很多網站免費釋出的付費外掛和主題，從不可靠的來源下載的主題和外掛是非常危險的。它們不僅可以危及網站的安全性，還可以竊取敏感資訊。

10、wp-config。php檔案沒有受到保護

WordPress配置檔案wp-config。php包含了資料庫登入憑據，一旦它被洩露，那麼駭客就能完全訪問你的網站資訊。我們可以透過使用。htaccess拒絕訪問wp-config檔案來新增額外的保護。只需將以下程式碼新增到。htaccess檔案即可。

order allow，deny

deny from all

11、沒有更改WordPress表字首

WordPress預設使用

wp_

作為資料庫表的字首，我們可以選擇在安裝期間更改。很多站長建議要更改預設的WordPress表字首，建議使用更復雜的表字首。

對於駭客攻擊我們還是要做到防患於未然，畢竟被攻擊了是一件很頭疼的事情，雖然對於小站長來說損失沒有那麼大，但還是會讓人很揪心。除了以上的防範措施，我們也可以藉助一些安全外掛，推薦以下相關文章：

推薦一款好用的 WordPress 安全外掛WP Security

提高網站安全性的6種方法

提高Nginx伺服器安全性、穩定性和效能的12個技巧

如何保證WordPress網站免受DDoS攻擊和其他安全風險

12個跡象表明WordPress網站遭到駭客攻擊

如何保護WordPress網站免受暴力攻擊

WordPress網站被垃圾評論攻擊