建立一個新的 WordPress 網站,遷移,或升級品牌的現有 WordPress 網站時,在優先順序列表中 WordPress 網站安全很可能很低。這並不罕見,考慮到正在忙於讓 WordPress 網站上線的一切。不幸的是,中小企業,甚至是初創企業,都完全有理由像全球運營的企業品牌一樣關注安全問題。可能會看到頭條新聞關注 Target 和 Sony 等品牌的資料泄露事件,但這只是因為初創企業和小規模運營的影響力不夠大,不值得新聞報道。統計資料與媒體報道大相徑庭。事實上,約有 43% 的網絡攻擊針對小企業,其中包括從網絡漏洞到 WordPress 網站程序代碼注入、移動應用被入侵等。
而當網絡和 WordPress 網站安全遭到破壞時,大多數企業平均需要 197 天的時間才能檢測到它。在這段時間內會造成很多損失,這也是為什麼網絡犯罪的損失在不斷增加。根據 Trustwave 分享的資料,每年大約有 6000 億美元的損失。由於 woocommerce 電子商務 WordPress 網站通常處理安全的消費者資料,因此,違規行為造成的損失可能非常大。不要因為運營的 WordPress 網站不那麼複雜,就認為很安全。即使是傳統的商業 WordPress 網站,可能仍然在使用插件外掛或應用程式來處理基本的使用者資訊,包括登入憑證。 2018 年 Trustwave 全球安全報告發現,100% 被測試的網絡應用程式至少顯示一個安全漏洞,每個應用程式的中位數為 11 個漏洞。
為什麼 WordPress 網站會被黑客攻擊
WordPress 網站安全最重要的一點是,黑客通常不會選擇要入侵哪個 WordPress 網站。雖然少數人可能會針對特定的企業品牌或政府 WordPress 網站進行挑戰,或者因為黑客主義的問題(與宗教、民族主義、反全球主義、人權等有關,其中面向公眾的內容被污損),但在大多數情況下,他們選擇入侵的 WordPress 網站都是隨機的。
幾乎在每種情況下,黑客們都會使用指令碼,廣泛搜索 WordPress 網站的常見漏洞。而且,除非他們專門尋找挑戰,否則他們更可能採取挑戰性最小的漏洞,以便快速訪問。根據賽門鐵克的一項研究,“在過去的三年裏,超過 3/4 的被 WordPress 網站含有未修補的漏洞”,“其中七分之一(15%)在 2015 年被認為是關鍵性漏洞” 。當他們掃描漏洞時,他們並沒有區分企業的規模或年齡。是什麼讓這麼多小企業成為目標,因為小企業主通常不會把安全放在首位。不像大型企業品牌,他們也沒有預算來維持一個能夠定期監控或維護更新的安全系統的 IT 部門。 Chris Eggleston 認為,大多數黑客在攻擊 WordPress 網站時,都在尋找三樣東西:
劫持 SMTP 服務器。他們上傳一個指令碼,利用中繼服務器每天傳送數百封垃圾郵件。直到虛擬主機商關閉中繼服務器。
劫持 WordPress 網站流量。他們會將來自搜索引擎的流量重定向到他們的賺錢 WordPress 網站。這些 WordPress 網站會打上令人迷惑的顏色和徽標,讓訪問者認為他們來對了地方。
分發惡意軟件。是否訪問過這樣的 WordPress 網站,彈出一條訊息説需要更新 Flash 播放器,點選它時,電腦上最終會出現一個病毒?這就是病毒從被黑客攻擊的 WordPress 網站傳遞的一種方式。通過了解安全如何被破壞,以及黑客在尋找什麼,可以更好地瞭解虛擬主機商使用的安全技術,以及可以做什麼來提高自己 WordPress 網站的安全性。關於黑客攻擊的相關內容,推薦內容 黑客有哪些攻擊方式攻擊 WordPress 網站服務器。
安全性通常如何被破壞
安全漏洞在網絡應用中很常見,如果認為自己沒有問題,應該檢查用於開展業務的應用——尤其是那些與 WordPress 網站整合的應用。小企業主使用的 Web 應用程式的例子包括。
網絡分析工具
寫作和語法應用程式和插件外掛
SEO 站羣插件外掛和應用
電子郵件整合應用程式
第三方社交整合應用
生產力應用
聊天和聯絡人表格等通訊應用
還有大量的其他應用,每個漏洞都有可能危及 WordPress 網站安全。以下是一些最常見的 WordPress 網站漏洞。
SQL 注入——注入程序代碼,授權訪問或破壞資料庫內容,允許攻擊者讀取、寫入或以其他方式改變資料。
跨站指令碼—— 也被稱為 XSS,這種方法允許攻擊者在瀏覽器中執行指令碼,以劫持瀏覽會話,改變 WordPress 網站內容,並將使用者重定向到任何選定的目的地。
身份驗證中斷——會話管理不善和中斷的身份驗證使劫持者很容易接管一個活躍的使用者會話,並假定使用者的身份。
安全配置錯誤——安全配置錯誤發生時,黑客或劫持者可以獲得各種私人資料或功能,包括完全受損的 WordPress 網站或網絡。
雖然這些都是比較常見的漏洞,但還有更多的漏洞可能發生。值得慶幸的是,也有許多方法,信譽良好的虛擬主機公司積極工作,以保持 WordPress 網站和 WordPress 網站服務器託管免受劫持和入侵。推薦更多相關內容可以參考瞭解 預防黑客攻擊如何提高 WordPress 網站安全性的十個方法。