我想弄清楚Wordpress网站是如何被破坏/黑客入侵的。我非常了解发展。我知道如何保护代码等。但我最近发现,大量Wordpress网站正在遭到破坏。我开发的两个网站和其他网站。它只是过时的Wordpress安装吗?即使Wordpress运行的是3.1版,网站仍然被破坏。
所有用户输入均在前端和后端进行验证。尽可能使用WP NONCE。服务器相当安全(不是777)。
????
我对Wordpress失去了信心。如果是我的错,我很乐意承认并修复,但唯一的答案似乎是过时的Wordpress网站,我觉得这很难相信。
即使Wordpress运行的是3.1版,网站仍然被破坏。
甚至?曾经有过one major and five security releases 从那个版本开始。如果您是在暗示3.1应该是合理安全的,那么事实并非如此。
但唯一的答案似乎是过时的Wordpress网站
你做了什么来排除主题、插件和主机,从而得出WP是唯一可能的结论?
如果您担心网站的安全性,您是否考虑过聘请专家进行适当的安全审计?
在我看来,这是您的服务器或主机。众所周知,并不真正关心共享服务安全的主机是dh和mt(以及其他一些大公司)。去年,这两人都曾多次被成功袭击和感染。由于我自己使用其中一个(合同运行),并且与您有相同的问题(不同的安装、没有插件、自定义主题等),我会去问他们。但不要期待任何真实的答案。
最近WP中的许多严重漏洞实际上都存在于插件中。我最近发现了一个插件组合,当一起安装时,会使WP接受任何东西作为密码。只要攻击者知道有效的管理登录(您好,Admin!)在运行这些插件的网站上,他们可以做任何事情。
此外,一些网站和提供商没有以安全的方式进行设置。有数量惊人的站点存在一些小问题,这些问题会泄露足够的信息,使攻击者能够直接访问数据库或完全破坏主机。
除此之外;人们经常重复使用密码。如果您的电子邮件密码和WP密码相同,则针对您个人的攻击者将有更多机会了解其内容。
如果您的站点被未经授权的用户破坏或以其他方式访问,您应该仔细查看插件及其版本、WP及其版本、主题、数据库配置以及主机配置。可能是某个地方有信息泄露,或者是安全性差的管理界面允许他们进入。
问题可能根本不是WP本身。
大约一个月前,我在一个与爱好相关的托管服务器上创建了一个WordPress博客。所以,我目前还不熟悉这一点。由于我担心安全性,我做的一件事就是安装插件WP安全扫描。根据插件结果,我的网站会被检查出来,但我在结果中看到的是一个红旗:文件。wp admin中不存在htaccess/(我在那里ssh了,它不存在)好的,所以我在这个问题上做了大量的搜索,找到了太多的信息。htaccess。我在WordPress上经历了强化WordPress。org网站等,也遇到了这篇文章:http://digwp.com/201