安全插件对任何 WordPress 网站都很重要。它往往是你抵御黑客、恶意软件、垃圾内容和暴力破解的第一道防线,有时甚至是唯一一道防线。
WordPress 使用量很大,所以也很容易成为攻击目标。漏洞可能来自过期插件、过期主题,也可能来自弱密码。安全插件可以监控恶意软件、可疑文件变化和未授权访问,同时提供防火墙、登录保护和异常提醒。
如果暂时不想付费,也可以先使用 Wordfence、All-in-One Security、Sucuri、Jetpack 这类免费方案。但重点是:一定要启用,并且长期保持。因为我自己就经历过一次真实的网站入侵,原因和一个过期插件有关,而网站当时几乎没有防护。
我是怎么因为一个过期插件出问题的?
那是 2022 年,我当时主要在做自己的博客。网站收入还不错,所以我愿意为独立服务器、付费主题和一些服务付费。但为了保持网站轻量,我只启用了 5 个插件。
其中一个是 SEO 插件,那时我很喜欢 Yoast,现在则更倾向 Rank Math。其他插件包括 Google Site Kit、Spectra、LiteSpeed Cache,以及一个给文章添加优缺点表格的插件。
因为当时我对 WordPress 还不够熟,也没有太重视安全插件。网站一切正常,页面速度分数也一直在 90 以上,所以我对这个配置很满意。
直到有一天,我打开 Search Console,发现索引页面数量突然暴涨。报告里显示网站大概有 50 万个页面被索引,但我的博客实际只有 200 篇文章。
一天后,大部分页面被 Google 标记为 Crawled - currently not indexed,但仍然有很多奇怪页面出现在 Google 结果里。
我的流量几乎掉了 90%,当时完全不知道怎么恢复。我用 site: 指令检查网站索引,发现有很多奇怪链接以我的网站名义出现。但打开这些链接时,它们又会跳到网站里的 404 页面。
这些页面被自动创建并被 Google 索引,但实际上并不是网站正常页面。后来我继续研究,才知道这类问题和 日文关键词入侵 有关。我也在 Google 论坛发帖,得到了专家的回复。
为什么会发生?
我后来了解到,这类入侵有时会让黑客把自己添加为 Search Console 资源所有者,从而把你的受众导向他们自己的页面,通常是垃圾网站。也有很多情况,是黑客通过过期插件漏洞进入网站。
我相信我的情况很可能和那个优缺点表格插件有关。插件开发者曾经提醒他们停止维护了,但如果我卸载它,网站里所有优缺点表格都会消失。所以我拖延了,继续让这个过期插件运行。
我不能百分百确定细节,但很可能就是这个插件给了黑客进入网站的机会。总之,这是一次真实的安全事故,损失已经发生,流量也已经掉了下去。
日文关键词入侵的影响
大多数情况下,这些垃圾页面会显示 404。但它们也可能以 cloaking 的方式存在。也就是说,你可能打不开它们,但某些用户或搜索引擎看到的内容可能不一样。
Google 对 cloaking 的定义是:
“Cloaking 是向用户和搜索引擎展示不同内容,以操纵搜索排名或误导用户的行为。”
这属于 Google 垃圾政策禁止的行为。即使你的网站是被黑导致的,也可能因此被影响排名。我的网站就是这样。
后来我是怎么处理的?
首先,我安装并启用了 Wordfence,还购买了付费版本。它帮助我清理恶意软件,也加固了网站。
因为没有办法手动删除所有垃圾链接,我只能等 Google 慢慢从资源中移除这些页面。这个过程大概持续了 4 个月。在这段时间里,我没有对网站做太多其他操作。
那些老文章的流量没有真正恢复,但当我重新开始更新网站时,新文章很快重新获得了一些表现。
这次日文关键词入侵让我损失了很多时间和收入,也让我学到一个重要教训:没有任何 CMS 是绝对安全的。如果你使用 WordPress,就必须保持 WordPress、主题和插件更新。同时,安装并启用安全插件真的很重要。
结论
WordPress 网站最好一直启用安全插件。网站看起来安全,不代表不会出问题。除了安装安全插件,也要及时更新 WordPress、主题和所有插件。很多安全事故不是因为复杂攻击,而是因为一个过期插件、一处小漏洞或一次侥幸心理。