2024年你应该防范的12个WordPress安全漏洞问题:由资深程序员撰写

微软创始人比尔盖茨曾说过，“安全对每个人都有同样的影响。在网站安全方面，没有特定的主题、目标或受众。”

但WordPress是互联网上最受欢迎的CMS。它也是被黑客攻击次数最多的。针对WordPress的攻击次数超过了每秒2800次。网络攻击会浪费时间、精力和金钱。它们还可能威胁到您的权威和声誉，尤其是当您的网站访问者受到攻击影响时。虽然无法量化您的网站可能面临的日常威胁数量，但重要的是要认识到并了解WordPress特有的问题，以便在受到攻击时能够应对。

本文由易极赞资深技术工程师王光荣为大家撰写，将概述一些最常见的WordPress安全漏洞和漏洞问题，解释它们为何会影响WordPress网站，以及您可以采取哪些措施来确保自己不会受到影响。

易极赞为wordpress主题提供网站托管和维护，选择网站模板，5秒钟即可生成你的企业网站。

你应该的12个WordPress安全问题漏洞

1，过时的核心软件

使用网站构建平台而不是从零开始构建网站的一个优势在于，开发人员会不断地增强平台的功能性和安全性，以提供流畅的用户体验。

WordPress的开发人员大约每三个月就会发布更新。强烈建议所有WordPress用户在更新可用时手动下载这些更新，或启用自动更新功能。这些发布版本通常包含改进、错误修复以及对更关键的安全漏洞的修复。因此，更新您的核心文件除了可以提升网站的安全性外，还可以改善网站的功能性、性能和兼容性。

尽管有自动更新功能，“50.3%的受感染WordPress网站都过时了。”

过时的WordPress核心软件会使网站变得脆弱，因为更新通常是为了解决关键的安全问题。不下载更新的用户则容易受到黑客的攻击。例如，WordPress 5.8.1版本就修复了三个主要漏洞，其中包括Gutenberg块编辑器中的跨站脚本（XSS）漏洞。

如果您的软件过时，您也将无法更新您的主题和插件（我们将在下面讨论），您的网站会更容易受到本列表中许多安全威胁的攻击。

你可以采取的措施

WordPress为每个新版本提供了自动更新功能。您可以在仪表板中启用这些功能，以确保您的核心文件保持最新状态。如果您不这样做，那么您的网站将容易受到已知威胁的攻击。

2，过时的主题和插件

WordPress的主要吸引力之一在于其可定制性。开发人员创建了数百种独特的主题和插件，WordPress网站所有者可以使用这些资源来定制自己的网站。

然而，这些扩展要求网站所有者采取适当的安全预防措施。如上所述，过时的核心软件可能会使您的网站面临安全风险，过时的主题和插件亦是如此。

事实上，根据WPScan的数据，其数据库中大约97%的漏洞来自插件和主题，而只有4%来自核心软件。存在漏洞的插件和扩展造成的安全问题，远比网站上使用过时核心软件的问题更为严重。

主题和插件开发人员通常会发布更新，以增强功能并增加额外的安全措施。然而，并非所有开发人员都会这么做。

如果开发人员没有更新他们的主题或插件，那么使用这些资源的网站就会容易受到黑客的攻击，黑客可以利用过时的工具作为攻击入口。例如，假设WordPress发布了带有新安全补丁的更新，但开发人员没有更新他们的主题以与新要求兼容。在这种情况下，黑客就可以利用主题的漏洞来控制网站。

此外，如果开发人员确实发布了更新，但网站所有者没有安装这些更新，那么他们的网站就会更加脆弱。

你可以采取的措施

更新有助于提高WordPress主题的安全性，并保护您的网站。当插件和主题有更新可用时，您可以手动安装它们，也可以使用插件在它们上线时自动安装。

3，恶意的软件

恶意软件是一个广义的术语，包括任何恶意软件（因此得名“恶意软件”）。黑客可以将恶意软件文件放入合法的网站文件中，或在现有文件中植入代码，以窃取网站及其访客的信息。恶意软件还可能尝试通过“后门”文件进行未经授权的登录，或造成普遍的混乱。

与这个列表中的许多问题一样，容易受到恶意软件攻击的问题与其他问题直接相关。例如，恶意软件通常通过未经授权和过时的主题和插件进入WordPress网站。

黑客利用插件和主题中的安全问题，模仿现有的插件和主题，甚至创建全新的插件，目的只是为了在您的网站上放置有害代码。

默认情况下，WordPress限制了用户可以上传到媒体库的文件类型。如果您尝试上传未包含在内的文件，您将收到错误消息，并且您的文件将无法上传。当然，作为管理员，您有办法绕过这一点，但这是WordPress为防止恶意软件而采取的一步。除此之外，您还可以采取以下措施：首先，仔细审查您在WordPress网站上安装的每个插件和主题。

如果你的wordpress网站使用自助建站平台（比如易极赞，wix，webbly等）的托管服务。托管平台会提供的内置恶意软件扫描和威胁检测功能，并对发现的问题及时解决，如果你是自己在维护服务器，择你需要及时对你的代码打上补丁。

4，信用卡盗刷

信用卡盗刷是一种旨在窃取客户信用卡信息的恶意软件。大多数信用卡盗刷软件通过注入JavaScript来窃取结账页面上支付表单中输入的支付详情，并且隐藏得很好以避免被检测。

按内容管理系统（CMS）来看，WordPress占据了盗刷感染的主要部分，2021年占比34.5%。去年，WordPress超过了主要的电子商务CMS平台Magento，成为检测到的信用卡盗刷软件最多的平台。WooCommerce是前100万个网站中最受欢迎的电子商务平台。“攻击者希望从这类攻击中获得最大的投资回报率。因此，信用卡盗刷软件的攻击者将重点转向互联网上最受欢迎的电子商务平台也就合情合理了。

与其他此列表中的安全问题一样，信用卡盗刷软件利用易受攻击的软件、弱密码和其他入口点。一旦攻击者获得对管理区域的访问权限，他们将在网站的插件、主题或其他合法文件中注入恶意负载，并对其进行混淆，以便从您的网站中尽可能多地收集信用卡信息。

攻击者从信用卡盗刷软件中获得的财务收益比其他类型的感染要高得多。因此，随着攻击变得更加有利可图，利用工具包可能会变得更加复杂和先进，自己动手清理可能会变得更加复杂。

5，未经授权的登录

未经授权的登录通常是通过“暴力破解”的方式进行的。在暴力破解登录中，攻击者使用机器人快速运行数十亿个潜在的用户名-密码组合。如果他们幸运的话，最终会猜中正确的凭据并访问受保护的信息。

这个过程看起来就像是电影中典型的破解密码的间谍场景，黑客在即将被抓获的边缘，争分夺秒地试图访问计算机。

WordPress网站成功遭受这类攻击主要有两个原因。首先，任何WordPress网站的默认后端登录页面都相对容易找到。任何人只需将网站的主URL后面加上/wp-admin或/wp-login.php，就可以访问登录页面。如果不自定义默认登录页面，攻击者可以轻易访问并尝试暴力破解登录。

一定要更改你的wp-admin文件和默认设置。默认设置往往会引来威胁，在未经授权的WordPress登录事件中，责任也落在WordPress用户身上。攻击者可以轻松地将默认的“admin”用户名与简单、常见的密码配对，从而进行登录。

提前预防方案

防御暴力破解黑客攻击最简单也最有效的方法是使用难以发现的强密码，即使用那些即使利用强大的技术也难以破解的密码。关于不要使用简单、可预测的密码的警告并非新鲜事，但许多人仍然没有吸取教训，让我告诉你，为你的凭证增加一点复杂性其实非常有效。好吧，你现在相信强密码确实起作用了。但是，想到要记住所有这些密码，是不是感觉工作量很大？这就是为什么需要密码管理器。这些便捷的应用程序将为你生成、记住并安全地存储密码，以备将来使用。

6，网站的用户角色

在创建WordPress网站时，你可以选择六种不同的用户角色，如订阅者（Subscriber）或管理员（Administrator）。每个角色都带有原生权限，允许或限制用户在网站上执行特定操作，如修改插件和发布内容。默认的用户角色是管理员，这一角色对任何WordPress网站拥有最大的控制权,

如果你的网站有多个用户，且没有更改默认设置，那么每个人都会是管理员，这可能会成为一个问题。这并不意味着与你共同创建网站的人会给你带来危害，但这确实意味着一旦黑客侵入你的网站，他们将以管理员身份进行更改。

如果管理员角色定义不清，一旦暴力破解攻击成功，你的网站将面临更大的风险，因为管理员角色可能让黑客完全控制你的网站。此外，跨站脚本攻击（下文将详细介绍）也会让黑客获得前端功能，从而从网站访问者那里获取更多信息。

无论你的WordPress网站用途如何，都应监控所有权限。如果你是网站上的唯一管理员，请确保已采取额外的安全措施来防止黑客入侵你的网站，例如使用双因素认证或设置更长的密码。如果你给他人分配角色，请确保只给予他们必要的权限。错误在所难免，因此你还需要确保，例如，一个贡献者不会意外地删除一篇表现优秀的文章。

7，SQL 数据库脚本注入

SQL是一种编程语言，用于快速访问特定网站上的存储数据。它是WordPress用于数据库管理的首选语言，虽然具有一定的安全性，但恶意方可以利用它对你的网站进行攻击。

在SQL注入攻击中，黑客能够获得直接查看和修改你网站数据库的能力。攻击者可以使用SQL来在你的网站上创建新账户、添加未经授权的链接和内容，以及泄露、编辑和删除数据。

WordPress网站容易受到这种攻击，因为大多数网站都旨在培养社区感。攻击者通常通过面向访问者的提交表单（如联系表单、支付信息字段和潜在客户表单）进行SQL注入。当黑客在这些表单中输入信息时，他们并非希望使用你的内容，而是提交将在内部运行并作出更改的代码。

最好的做法是怀疑用户输入。你网站上的任何表单提交都是恶意访问者将信息直接提交到你的SQL数据库的机会。

限制访客提交中的特殊字符。没有符号，你可以将恶意代码字符串变成无害的乱码。考虑使用WordPress表单插件和/或WordPress安全插件来帮助你完成这项工作。你还可以在提交过程的最后一步使用验证码，以防止机器人进行注入尝试。

8，搜索查询注入垃圾信息

这类垃圾信息攻击与SQL注入类似，他在你的网站搜索中心输入垃圾信息，并提交给搜素引擎爬虫抓取。

它们针对的是任何网站所有者最看重的东西：SEO。这些攻击利用你排名靠前的页面，填充垃圾关键词和弹出广告，并利用你的辛勤工作来销售商品或假冒商品。

这些攻击更难被发现，因此更加危险。黑客通常会获得访问权限，但会等待一段时间再做出任何更改，以避免立即引起怀疑。由于这些攻击是基于SEO的，这些垃圾关键词的添加只会放在你的高排名页面上，因此当你对整个网站进行审查时，你不会发现它们。黑客只是在相关页面的这里或那里插入一个关键词，如“便宜的香奈儿包”，这样你的代码仍然相对完整。

如果你热衷于自己识别这些攻击，请密切关注你的分析数据，并注意任何SERP排名突然变化或网站流量无故增加的情况。如果你的网站在搜索结果中出现了与你的网站内容不相关的内容，互联网浏览器也可能会通知你。如果你有编程知识，可以仔细检查那些似乎受到影响的高排名页面，并尝试找出错误的关键词。

无论你选择哪条路线，尽早发现并解决这些攻击至关重要，因为SEO爬虫会针对使用垃圾战术的网站进行打击，你所有的辛勤工作都将付诸东流。

9,跨站脚本攻击

跨站脚本攻击（XSS）发生在攻击者在选定网站的后台代码中插入恶意代码时。XSS攻击与数据库注入类似，攻击者试图植入能够在你的文件中运行的代码，但XSS主要针对的是网页功能。一旦攻击者能够访问你的前端显示，黑客可能会尝试伤害访问者，例如发布一个伪装成故障网站的链接，或者显示一个假的联系表单以窃取用户信息。

再次强调，WordPress插件和主题是造成问题的罪魁祸首。如果攻击者在你的网站上找到一个过时或维护不善的插件，他们就可以利用它来获取控制你网站前端显示的文件的权限。WordPress主题也是如此。

更新、更新、再更新！始终确保你的WordPress核心、插件和主题都运行其最新版本，并且在你的网站上实施任何第三方软件时要非常小心。

另一个有助于防止XSS攻击的工具是Web应用防火墙（WAF），它检查流量并防止未经授权的访问者从外部网络进入你的系统。WAF易于设置和维护，因此我们建议你浏览信誉良好的WAF插件，以保护你的WordPress网站免受XSS、SQL注入和其他攻击。