WordPress網站面臨的主要安全威脅包括:惡意軟體感染、插件和主題漏洞、SQL注入攻擊、跨站腳本攻擊(XSS)、暴力破解登入、DDoS攻擊以及過時軟體導致的漏洞利用。這些威脅常因插件或主題未及時更新、弱密碼、FTP安全不足或共享主機環境而加劇。
具體威脅細節如下:
-
惡意軟體感染:駭客透過漏洞植入後門程式,控制網站或竊取資料,尤其是Must-Use Plugins(mu-plugins)資料夾成為新型攻擊目標。
-
插件與主題漏洞:許多安全事件源自插件或主題的程式碼缺陷,攻擊者可利用未妥善驗證的檔案上傳功能執行遠端程式碼(RCE),甚至刪除伺服器檔案,導致網站被完全接管。
-
SQL注入攻擊:透過惡意SQL語句操控資料庫,竊取或破壞資料。
-
跨站腳本攻擊(XSS):攻擊者注入惡意腳本,竊取用戶資料或劫持會話。
-
暴力破解登入:利用弱密碼或預設管理員帳號(如admin)反覆嘗試登入,取得管理權限。
-
DDoS攻擊:大量流量癱瘓網站服務,造成無法正常訪問。
-
過時的WordPress核心、插件與主題:未及時更新導致已知漏洞被利用,約74%被攻擊的WordPress網站使用過時軟體。
此外,FTP帳號安全不佳及共享主機環境也會增加網站被入侵風險。
總體而言,WordPress網站安全威脅多元且嚴重,需透過定期更新核心與外掛、強化密碼策略、選擇安全主機、限制登入嘗試、使用安全插件及定期備份等多重防護措施來降低風險。
