最近，我们经常看到WordPress网站被黑客攻击的文章，而我自己也有这样的亲身体验，发现WordPress网站遭到黑客攻击后，让人感觉很无奈。下面我们将分享WordPress网站被黑客攻击的主要原因，来避免一些操作不当的小细节并保护网站。

为什么WordPress被黑客攻击？

其实，不只是WordPress被黑客攻击，互联网上的所有网站都容易遭受黑客攻击。很多人觉得被黑客攻击的网站都是WordPress网站，原因是WordPress是世界上最受欢迎的建站平台，占全球网站的31％，约数亿个网站。这种网站的覆盖面积能吸引黑客找到一些不太安全的网站，从而攻击利用它们。

不同黑客攻击网站的动机也不一样，对于初学者来说，他们只是想利用你网站的不安全进行黑客练习。而对于一些恶意的黑客，他们想利用你的网站，分发恶意软件，攻击其他网站，或发送垃圾邮件到互联网。

1、服务器不安全

WordPress网站托管在Web服务器上，一些托管公司没有采取妥善的保护措施，这可能会使网站容易受到黑客攻击。选择大型比较正规的服务器或虚拟主机，可以避免这种情况。适当安全的服务器可以阻止许多对WordPress站点的最常见攻击。

2、密码太弱

密码是WordPress网站的关键。需要保证下面每个帐户使用强密码，因为它们都可能会被黑客攻击，然后获取网站的完全访问权限。

• WordPress管理员帐户
• Web主机控制面板帐户
• FTP帐户
• MySQL数据库帐户
• WordPress管理员或电子邮件帐户

使用弱密码可以让黑客很容易的利用一些破解工具暴力破解。将账号密码设置强大一点，可以避免这种情况。

3、没有添加wp-admin目录保护

WordPress管理后台提供了操作网站的权限，它也是WordPress站点中最常被攻击的区域。可以向WordPress管理目录添加身份验证，来使攻击变得困难。

首先，应该设置强密码的管理员后台账号，如果有多作者或多用户，还需要为网站添加对所有用户强制使用强密码。另外，还可以添加双重身份验证，使黑客更难进入WordPress管理后台。

4、文件权限不正确

文件权限是Web服务器使用的一组规则，这些规则可以控制访问网站上文件的权限。不正确的文件权限可以让黑客有权编写和更改这些文件。所有WordPress文件都应具有644权限，所有文件夹都应具有755权限。

5、没有更新WordPress

一些站长担心更新WordPress会破坏网站数据和结构，其实，WordPress的每个新版本都在修复错误和安全漏洞。如果不及时更新WordPress，这些漏洞很容易遭到黑客攻击。如果担心更新会破坏网站，可以在更新前对网站进行完整备份。

6、没有更新插件和主题

跟WordPress核心程序一样，更新主题和插件同样重要。使用过时的插件或主题可能会使网站遭到攻击。在WordPress插件和主题中发现安全漏洞和错误，其作者会快速修复它们。但如果用户没有及时更新，就可能给黑客造成可趁之机。

7、使用了普通FTP而不是SFTP / SSH

FTP用于将文件上传到Web服务器，大多数服务器提供商使用了不同的协议支持FTP连接。我们可以使用普通FTP，SFTP或SSH进行连接。

当使用普通FTP时，密码将以未加密的方式发送到服务器，它可能会被窥探并轻易被盗，我们应该尽量不用普通FTP。

8、使用Admin作为WordPress用户名

建议不要使用“admin”作为WordPress用户名。如果管理员用户名是admin，应立即改为其他用户名。

9、盗版的主题和插件

网上有很多网站免费发布的付费插件和主题，从不可靠的来源下载的主题和插件是非常危险的。它们不仅可以危及网站的安全性，还可以窃取敏感信息。

10、wp-config.php文件没有受到保护

WordPress配置文件wp-config.php包含了数据库登录凭据，一旦它被泄露，那么黑客就能完全访问你的网站信息。我们可以通过使用.htaccess拒绝访问wp-config文件来添加额外的保护。只需将以下代码添加到.htaccess文件即可。

1. <files wp-config.php>
2. order allow,deny
3. deny from all
4. </files>

11、没有更改WordPress表前缀

WordPress默认使用wp_作为数据库表的前缀，我们可以选择在安装期间更改。很多站长建议要更改默认的WordPress表前缀，建议使用更复杂的表前缀。

对于黑客攻击我们还是要做到防患于未然，毕竟被攻击了是一件很头疼的事情，虽然对于小站长来说损失没有那么大，但还是会让人很揪心。除了以上的防范措施，我们也可以借助一些安全插件，推荐以下相关文章：

• 推荐一款好用的 WordPress 安全插件WP Security
• 提高网站安全性的6种方法
• 提高Nginx服务器安全性、稳定性和性能的12个技巧
• 如何保证WordPress网站免受DDoS攻击和其他安全风险
• 12个迹象表明WordPress网站遭到黑客攻击
• 如何保护WordPress网站免受暴力攻击
• WordPress网站被垃圾评论攻击

80%的人都看过的文章

• 12个迹象表明WordPress网站遭到黑客攻击
• 如何解决WordPress建立数据库连接错误
• 超过1万个 WordPress 网站被黑客攻击
• 如何修复WordPress内存耗尽错误
• 如何修改Begin主题导航高度
• Torchbox放弃Drupal转向Wagtail，因开发慢维护难
• WordPress网站如何优化Robots.txt文件
• WordPress更新或安装主题时，提示无法连接到FTP服务器，怎么解决？