WordPress 被黑原因及防护技巧

   <p>WordPress 的确是一个很出色的平台，有着丰富的第三方插件和主题，也给博客主和广大读者提供了很棒的体验。但是，如果你不重视网站安全的话，你的博客很快就会成为黑 客眼中甜美的蛋糕了。在本文中，我们将会讨论到一下 WordPress 的安全隐患和一些应对方法。</p>    <p><img border="0" alt="WordPress 被黑原因及防护技巧" src="https://simg.open-open.com/show/cbe85ec77211f5e49276d8b8bb93cd81.png" width="559" height="172" /></p>    <h2>问题出在哪了？</h2>    <p>对于一个像 WordPress 一样复杂的 CMS，用户的程序是在不同的服务器上运行的，第三方插件，第三方主题也可能会存在一些缺陷。当破坏者通过某些缺陷进入了你的网站的话，你就有麻烦了。</p>    <p><strong>如果你运行的是一个易手攻击的 WordPress，黑客可以进行以下几种破坏：</strong></p>    <ul>     <li>1、在你的网站上执行任意代码。</li>     <li>2、注入脚本，HTML代码或者是直接编辑你的帖子。</li>     <li>3、导致无法访问（使网站崩溃，CPU 和带宽过载）。</li>     <li>4、注入或者执行 SQL 命令。</li>     <li>5、获取重要数据，例如你的密码。</li>     <li>6、把用户带到另外的网站，可能还是钓鱼网站。</li>     <li>7、跨站伪造记录(CSRF）。</li>     <li>8、在你的网站上创建一个隐藏的帖子，这个帖子只对搜索引擎可见，而且是导向到黑客的站点的。</li>     <li>9、植入后门。这样就算你修复了那些缺陷黑客还是可以进入你的网站。</li>     <li>10、在你的 PHP 核心代码和主题文件里面植入一段加密代码。</li>    </ul>    <h2>被黑的主要原因</h2>    <p>一个很重要的原因就是你用的是过时的东西，比如 WordPress 核心程序，插件，主题。这就是为什么现在有那么多的相关服务来把升级变得更简单。其中 <a href="/misc/goto?guid=4958522067301953094" target="_blank">WP remote</a> 和 <a href="/misc/goto?guid=4958522067386804593" target="_blank">InfitniteWP</a> 是两个免费又好用的服务。</p>    <p>还有一些其他常见的原因：</p>    <ul>     <li>1、在下载了没有来源的主题，通常这些主题都是有后门的。</li>     <li>2、从一个感染了病毒的电脑进入你的 WordPress 网站。</li>     <li>3、管理员帐号的密码过于简单。</li>    </ul>    <h2>在哪里获得最新的漏洞信息</h2>    <p>在 WordPress 3.X，已知的漏洞已经有30个，如果你的 WordPress 还是更旧的版本，漏洞就会更加多。这里有一个<a href="/misc/goto?guid=4958522067472654291" target="_blank"> Secunia</a> 提供的所有已知 WordPress 漏洞的列表，或者你可以直接去关注一下 WordPress 的开发进展，订阅开发团队的博客 <a href="/misc/goto?guid=4958522067578074621" target="_blank">WordPress development blog</a>。</p>    <h2>给你的博客上把锁</h2>    <ul>     <li>1、定时备份博客。这样就能确保你在任何时候都可以重建网站。</li>     <li>2、确保你的 WordPress 核心系统是最新的。</li>     <li>3、确保插件和主题是最新的。</li>     <li>4、不要使用未知来源的主题，通常都是有后门的，特别是那些放到免费网盘里面的破解主题。</li>     <li>5、用一个没有其他站点使用过的高强度密码。</li>     <li>6、确保你用来登录 WordPress 站点的电脑是没有病毒的。</li>     <li>7、监控服务器和用户数据，调查可疑的行为。</li>     <li>8、使用空白的 index.html 文件来禁止其他用户访问主题和插件目录。</li>     <li>9、在你的 meta 描述里面把你的 WordPress 版本好去掉。</li>     <li>10、通过 htaccess 文件来保护 WordPress 的 wp-admin 文件夹。</li>    </ul>    <p>还有一些很好用的插件，我个人推荐以下几个：</p>    <p><a href="/misc/goto?guid=4958522067663853884" target="_blank">Wordfence</a> 提供免费的防火墙，病毒扫描，和流量监控。</p>    <p><a href="/misc/goto?guid=4958328080436132472" target="_blank">Bulletproof</a> 针对 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防护。</p>    <p><a href="/misc/goto?guid=4958328086644359631" target="_blank">Better WordPress security</a> 提供傻瓜式的操作。</p>    <p><a href="/misc/goto?guid=4958522067815378195" target="_blank">Lockerpress</a> 自定义登录 URL，更换管理员，还有一些自定义过滤的选项。</p>    <p>希望本文可以帮到各种读者朋友。</p>    <p>原文：<a href="/misc/goto?guid=4958522067919177043" target="_blank">Has Your WordPress Blog Been Hacked?</a></p>    <p>本文由 <a href="/misc/goto?guid=4958522068007049672" target="_blank">CloudCheung</a> 翻译，转载请以可点击的超链接形式注明源地址： <a title="你的 WordPress 博客容易被黑吗？" href="/misc/goto?guid=4958522068101430927" target="_blank">http://t.tt/34/</a></p>