现在有超过2800 万个实时网站使用 WordPress。虽然很高兴成为如此庞大而活跃的社区的一员,但这种受欢迎程度使该平台成为恶意黑客的主要目标。
幸运的是,通过实施一些简单的安全策略并执行定期检查,您可以使您的网站更不容易受到攻击。这可以帮助您避免因可预防的安全漏洞而丢失客户、流量、收入或机密信息。
在这篇文章中,我们将讨论为什么保护您的 WordPress 网站比以往任何时候都更加重要。然后,我们将分享九个提高网站安全性的重要技巧。让我们开始吧!
WordPress安全简介
WordPress 为超过 40% 的网络提供支持,这使其成为黑客的有吸引力的目标。如果恶意第三方设法识别出一个 WordPress 网站的漏洞,他们可能会利用相同的安全漏洞来攻击建立在同一平台上的数百万其他网站。
有了这种想法,对 WordPress 的攻击呈上升趋势也就不足为奇了。Wordfence 在 2020 年记录了43 亿次利用漏洞的尝试。当被问及网络安全时,超过 70% 的开发人员、自由职业者和代理机构确认他们越来越担心自己的网站。事实上,25% 的受访者确认他们在参与调查前一个月不得不处理一个被黑的网站。
WordPress 团队在识别和解决平台漏洞方面有着良好的记录。但是,没有任何软件是完美的。此外,许多网站所有者选择使用主题和插件扩展 WordPress 核心。这些第三方产品可以为您的站点添加新的设计和功能,但也可以添加新的安全漏洞。
根据 Patchstack 的安全白皮书,第三方插件和主题占检测到的 WordPress 安全漏洞的 96.22%。整个 2020 年检测到的活跃和易受攻击的主题和插件安装总数达到惊人的 7000 万。
如果黑客确实设法控制了您的网站,后果可能是灾难性的。攻击者可能会破坏您的网站、窃取您的数据或将您的忠实客户重定向到垃圾邮件网站。
这些恶意活动的影响可能是深远的。它们可能包括在您的客户之间失去信任和错过销售,直至由于您未能保护访问者信息而导致的潜在法律诉讼。
2022年保持 WordPress 网站安全的 9 种方法
WordPress 可能是黑客最喜欢的目标,但这不是切换到不同内容管理系统 (CMS) 的理由。让我们看一下可用于强化和保护 WordPress 网站免受常见攻击的九个技巧。
1.选择优先安全的托管服务提供商
确保 WordPress 网站安全的最重要方法是选择优先考虑安全性的托管服务提供商。我们建议尽可能选择提供内置安全功能和工具的托管解决方案。
在 A2 Hosting,我们非常重视安全性,这就是为什么我们所有的托管包都包含Cloudflare Web Application Firewall (WAF)的原因。该工具可以帮助保护您的网站免受暴力攻击,在这种攻击中,黑客试图提交许多不同的密码和用户名,以期正确猜测组合。
我们的托管计划还附带cPanel 控制面板和Softaculous 安装程序。这个流行的安装程序提供了对各种附加组件、工具和软件的访问,其中包括许多可以帮助您保护您的网站的软件。
运行过时的软件会使您的网站更容易受到攻击。如果您确实选择通过 Softaculous 安装其他软件,那么每次有可用更新时我们都会向您发送电子邮件。这可确保您不会错过任何有助于增强站点安全性的关键安全更新或错误修复。
如果您确实有安全问题,那么立即解决它很重要。这就是为什么我们还为所有托管客户提供24/7 客户支持。
2. 安装安全套接层 (SSL) 证书
如果没有安全套接字层 (SSL) 证书,恶意第三方可能能够拦截您的网站发送和接收的数据。这包括登录凭据和付款详细信息。如果黑客设法访问此信息,则可能会损害您的声誉并破坏用户对您网站的信任。由于数据保**,它甚至可能使您陷入合法的热水中。
SSL 证书可以通过安全超文本传输协议 (HTTPS)而不是超文本传输协议 (HTTP)传输信息,从而帮助确保您的私人数据保持私密。顾名思义,HTTPS 比 HTTP 更安全,因为它使您能够加密流入和流出您网站的任何数据。
获得您的 SSL 证书后,我们将通过电子邮件向您发送 SSL 令牌。您可以通过将证书添加到您的网站来安装证书。
如果您是 cPanel 用户,则可以登录您的帐户并启动AutoInstall SSL工具。然后将您的 SSL 令牌粘贴到提供的字段中,然后单击验证令牌:
然后我们会询问一些关于您的网站和证书的简单问题。提供这些详细信息后,AutoInstall SSL 将上传您的证书并且您的数据将被加密。
3. 实施内容交付网络 (CDN)
如果恶意第三方设法使用蛮力攻击闯入您的网站,他们可能会造成严重破坏。他们可能会窃取您的数据、破坏您的网站,甚至完全删除您的 WordPress 网站。
您可以通过使用混合了数字和符号以及大写和小写字母的长而复杂的密码来帮助保护您的站点免受暴力攻击。然而,一些黑客使用自动化脚本和机器人用数千个登录凭据轰炸您的网站。即使您遵循密码优秀做法,您的网站仍可能成为暴力攻击的受害者。
为了防止这些自动化脚本和机器人,您可能需要考虑使用内容交付网络 (CDN)。尽管此工具通常用于提高网站性能,但它也可以阻止恶意请求到达您的网站。
这可以防止黑客使用登录凭据攻击您的网站。在 A2 Hosting,我们向所有客户提供 Cloudflare CDN:
除了提供蛮力保护之外,Cloudflare 的网络还旨在监控和缓解分布式拒绝服务 (DDoS) 攻击。在这种情况下,黑客用大量恶意流量淹没了您的网络,以至于超出了您网站处理请求的能力,此时合法请求可能会被忽略。
您可以通过登录 cPanel 并导航到Software > Cloudflare来配置 Cloudflare CDN 。然后,您可以按照屏幕上的说明确保为您的特定网站正确设置 Cloudflare。
4. 安全使用插件和主题
WordPress 拥有庞大的主题和插件目录,可以帮助您创建美观、功能丰富的网站。但是,这些第三方扩展也可能使您的网站容易受到攻击。2019 年,97.2% 的 WordPress 漏洞与插件有关。
为了帮助保护您的网站,您应该只安装来自信誉良好的来源的插件。我们建议尽可能使用官方的 WordPress 插件库,因为它有严格的安全准则:
或者,您可以从信誉良好的第三方市场(例如CodeCanyon )购买主题和插件。即使您使用的是优质资源,评估主题或插件仍然很明智,包括检查上次更新的时间:
我们还建议检查软件的评论,尤其是最近的评论。大量负面评论可能表明最新版本存在安全问题。
主题和插件还会向您的站点添加代码,其中可能包含漏洞。负责任的开发人员将努力关闭在其主题或插件中发现的任何安全漏洞,并且通常会发布包含针对任何最近发现的漏洞的解决方案的更新。因此,让您的主题和插件保持最新很重要。
据 WPBeginner 称,86% 的网站因软件过时而遭到黑客攻击。为了最大限度地降低您的风险,请务必在更新可用时立即安装:
在某些时候,您可能不再需要特定的主题或插件。如果您只是停用有问题的软件,那么黑客仍然可以利用其代码。例如,黑客通常针对特定插件中的单个 PHP 文件。
如果您只是停用主题或插件,那么这些 PHP 文件仍可访问,因此仍可被利用。这意味着删除不再需要的扩展程序至关重要。
5. 安装 Web 应用程序防火墙 (WAF)
主题和插件可能会给您的网站带来漏洞。理想情况下,当发现此类问题时,主题或插件开发人员会急于修补问题并发布更新。
然而,情况并非总是如此,因为一些复杂的漏洞可能需要时间来修复。虽然我们总是建议删除不安全的软件,但这并不总是可行的。例如,可能有问题的插件提供了您网站的核心功能。
如果您确实需要继续使用易受攻击的插件,那么您可以让黑客更难以滥用这些已知的安全漏洞。一种方法是使用 Web 应用程序防火墙 (WAF) 在恶意请求到达您的 WordPress 网站之前将其过滤掉。这也可以保护您的站点免受跨站点脚本 (XSS) 攻击。
有几个可用于 WordPress 的 WAF 插件。但是,Wordfence 端点防火墙是一个流行的选项:
安装并激活 Wordfence 后,最好将此插件留在 Learn More 中至少一周,然后再启用其防火墙。这可以帮助您避免误报,即 Wordfence 会阻止合法活动。
当插件处于学习模式时,您应该在您的 WordPress 网站上执行尽可能多的不同操作。这为 Wordfence 提供了学习如何保护您的网站的优秀机会,同时还允许正常活动和访问者通过其防火墙。
您可以通过导航到Wordfence > Firewall将 Wordfence 置于学习模式。然后打开Web 应用程序防火墙状态下拉菜单并选择学习模式:
保存您的更改,Wordfence 将开始监控您的网站。当您准备好将 Wordfence 退出学习模式时,您可以通过导航到Wordfence > 防火墙来启用防火墙。然后打开下拉菜单并选择启用和保护。
6.激活双重身份验证(2FA)
使用强密码保护您的网站非常重要。但是,在某些基于密码的攻击中,您的登录凭据的强度不会影响该攻击是成功还是失败。这包括撞库攻击,黑客试图使用数千甚至数百万个用户名和密码组合侵入您的仪表板。甚至还有击键记录程序可以监控您的键盘并记录您键入的每一件事,包括您的密码。
防止这些攻击的一种方法是启用两因素身份验证 (2FA)。激活此功能后,任何试图访问您的 WordPress 网站的人都需要输入正确的登录详细信息,然后通过额外的安全检查——例如回复手机上的推送通知或输入发送到其电子邮件地址的代码——才能访问您的网站。
通过激活 2FA,您可以使第三方更难访问您的网站。您可以使用Google Authenticator或Microsoft Authenticator等移动应用程序设置 2FA :
安装您选择的移动应用程序后,A2 Hosting 客户可以通过登录他们的帐户并导航到Account > Edit Account Details来启用 2FA 。然后,您可以在左侧菜单中选择安全设置:
在随后的页面上,选择单击此处启用。然后,您将被引导完成将您的 WordPress 网站链接到您的身份验证器移动应用程序的过程:
作为此过程的一部分,我们将为您提供备用代码。如果您无法访问身份验证器应用程序,则可以使用此代码恢复您的 WordPress 网站。为避免被锁定在您的网站之外,记下此代码并将其保存在安全的地方至关重要。
7. 考虑禁用 XML-RPC
Pingbacks 是一种通知其他网站您已链接到其内容的方法,反之亦然。默认情况下,它们在 WordPress 中启用。虽然此功能可以更轻松地回复提及您网站的评论,但它也可以使您的网站更容易受到 DDoS 攻击。
XML-RPC 接口使 WordPress pingbacks 成为可能。但是,攻击者可能会使用此功能通过 pingback 轰炸您的网站。这可能会使您的服务器超载,甚至可能使您的站点脱机。出于这个原因,您可能需要考虑使用REST XML-RPC Data Checker禁用 XML-RPC 接口。
如果您决定禁用 pingback,请在您的 WordPress 仪表板中安装并激活此插件。然后导航到Settings > REST XML-RPC Data Checker。接下来,选择XML-RPC选项卡并选择禁用 XML-RPC API 接口:
现在您只需要保存您的更改,您的网站将禁用 pingback。如果您不想使用插件,那么您可以在所有传入的 XML-RPC 请求被传递到您的站点之前阻止它们。
此技术确实需要您在代码级别编辑您的站点,因此在继续之前创建完整备份是明智的。如果您是 A2 Hosting 客户,我们提供两种备份工具,您可以通过 cPanel 访问它们:
创建备份后,使用FileZilla等 FTP 客户端通过文件传输协议 (FTP) 连接到您的服务器。然后,您可以打开.htcaccess文件进行编辑并添加以下内容:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
不要忘记保存您的更改并将文件重新上传到您的服务器。要验证 XML-RPC 现在是否已禁用,请转到XML-RPC Validator并输入您网站的 URL。如果 XML-RPC 被禁用,则验证器应显示错误消息。
8. 删除 WordPress 主题编辑器
默认情况下,您可以使用 WordPress 的内置主题编辑器修改您的主题。虽然这有助于创建自定义主题,但它也是黑客向您的网站注入恶意代码的一种方式:
如果您不需要主题编辑器,那么您可能需要考虑禁用它。这需要您编辑网站的代码,因此我们建议您在继续之前创建备份。
要禁用编辑器,您需要使用 FTP 客户端连接到您的服务器。然后,您可以打开wp-config.php文件并在“就是这样,停止编辑!快乐出版”:
define( 'DISALLOW_FILE_EDIT', true );
保存您的更改,主题编辑器将从您的 WordPress 仪表板中消失。如果您需要在任何时候恢复主题编辑器,那么只需使用 FTP 连接到您的服务器并删除DISALLOW_FILE_EDIT代码行。
9. 保护您的数据库免受 SQL 注入攻击
黑客可能会通过将恶意 SQL 查询注入您的 MySQL 数据库来尝试访问您的 WordPress 帐户。黑客可以通过任何接受用户输入的内容发起这些 SQL 注入攻击。这包括许多网站主食,例如评论部分和联系表格。
由于 MySQL 容易受到注入攻击,因此保持数据库处于最新状态非常重要。使用与您的网站、公司或您个人无关的强密码保护您的 MySQL 数据库也很重要。在这里,使用密码生成器(例如Strong Random Password Generator或LastPass )可能会有所帮助:
您还可以通过使用较早的数据库名称使黑客更难识别您的数据库。A2 Hosting 客户可以随时通过登录 cPanel 然后访问phpMyAdmin工具来更改他们的 WordPress 数据库名称。
在左侧菜单中,选择要重命名的数据库。然后打开操作选项卡:
在这里,输入您要使用的名称,然后单击Go。出现提示时,选择重新加载数据库。
结论
作为世界上最受欢迎的内容管理系统之一,黑客总是渴望发现 WordPress 主题、插件和核心中的漏洞。如果恶意第三方确实设法识别出安全漏洞,他们可能会使用它来对数百万个 WordPress 网站(包括您的网站)发起攻击。
通过遵循一些简单的安全预防措施,您可以立即使您的网站不易受到攻击。通过仔细审查所有主题和插件并安装 SSL 证书,从基础开始非常重要。一旦您有了坚实的基础,我们建议您探索更高级的安全策略,例如启用 2FA 并尽可能禁用主题编辑器和 XML-RPC。
TAG:wordpress安全性