2019 年 WordPress 安全综合指南
本WordPress安全指南的优点有两方面:
- 了解您在 2019 年需要了解的 WordPress 安全知识。了解 WordPress 安全有助于您树立安全意识,从而在日常决策中帮助您预防和降低风险。
- 获取切实可行的分步指南,帮助您保护 WordPress 网站的安全。这些步骤并不耗时,无需高深的技术知识,而且链接的指南都经过审核,确保清晰完整。
当然,我们不可能涵盖所有可能的漏洞和场景。因此,我们也列出了WordPress安全的基本原则。如果您能遵循这些基本原则,许多难以在此类文章中详述的细节问题自然迎刃而解。
为什么WordPress安全至关重要?
了解 WordPress 安全问题的严重性至关重要,这样您才能给予它应有的时间和关注。以下是一些令人警醒的数据:
- 谷歌每天会将 1 万个网站列入恶意软件黑名单,每周还会将 5 万个网站列入钓鱼网站黑名单。谷歌的黑名单会切断流量来源,对企业的收入造成严重影响。修复和移除黑名单可能很麻烦,尤其是在您的服务器曾被用于发送垃圾邮件的情况下。电子邮件服务提供商的黑名单会降低您的邮件送达率,从而削弱您的电子邮件营销效果。
- 2018 年,90% 的内容管理系统 (CMS) 被黑客攻击的案例都与 WordPress 有关。诚然,WordPress 是全球最流行的 CMS,34% 的网站都由 WordPress 提供支持,但这仍然是一个不成比例的黑客攻击数量。由于种种原因,WordPress 网站比其他任何 CMS 都更容易成为攻击目标并遭受攻击。
- 60% 的网络攻击针对小型企业。你或许认为黑客不会费心攻击你的网站,因为你规模很小,但“隐蔽式安全”在网络世界并不存在。没有哪个企业小到不会成为攻击的受害者。
- WordFence报告称,每分钟发生的攻击超过97,978次。这并非个别小问题。任何时候,都有大片WordPress网站正遭受漏洞探测。如果您的网站成为攻击目标,您是否做好了准备?
虽然这些统计数据描绘了一幅令人生畏的景象,让你意识到你将面临的挑战,但重要的是你要正视 2019 年管理 WordPress 网站的现实情况。
如果您的企业依赖 WordPress,那么安全问题就不容忽视。如果您没有采取措施保护您的网站,就很容易受到攻击。您的网站被攻破可能只是时间问题。在这个领域,“预防胜于治疗”。
WordPress 安全原则
确保 WordPress 安全不仅仅是勾选一系列选项,它需要您树立以安全为导向的思维模式,并以此指导您的决策。以下原则将帮助您在日常决策(例如添加新的 WordPress 用户、插件和主题)时避免犯错:
漏洞通常是由 WordPress 用户引入的。
保持更新并使用强密码的纯净版 WordPress 相对安全。通常情况下,WordPress 用户的一些操作失误会导致安全漏洞,从而被黑客利用。正因如此,像这样的文章才显得尤为重要。您有责任了解并始终遵循本文概述的 WordPress 安全最佳实践。
尽量减少插件和主题的使用。
WordPress 新用户常常会被其丰富的插件和主题生态系统所吸引,这可能导致他们盲目安装插件。然而,每个新插件或主题都会向网站添加代码,从而可能引入新的安全漏洞。通过尽量减少已安装的插件和主题,您可以减少网站使用的代码量,进而减少潜在的安全漏洞。一般来说,如果无需安装插件就能解决问题,那才是最佳选择。
请尽快安装更新。
WordPress 核心、插件和主题的更新通常包含重要的安全更新,应尽快安装。如果您有完善的备份策略,可以在更新导致问题时回滚到之前的版本。
遵循最小特权原则。
这是网络安全的一项核心原则,并非WordPress独有。简单来说就是:“不要赋予用户超出其所需的权限,因为这些额外的权限会赋予黑客更大的权力和访问权限,一旦他们攻破该账户,就能获得比原本更大的权限。”
攻击仍然可能发生。
即使你竭尽全力做好万全准备,仍然可能遭受攻击。这就是为什么定期自动备份至关重要。切勿忽视这一建议。网站被黑可能会造成一些干扰,但通常可以以最小的成本和干扰修复;而没有备份可以回滚的网站则可能造成严重的破坏。
安全工作永无止境。
拥有一个 100% 安全的 WordPress 网站是不可能的。你无法完全消除风险,所以应该致力于持续降低风险。这种“降低风险”的理念会促使你不断采取措施来提升安全性,将其视为一项永无止境的持续性工作。
WordPress最常见的攻击途径
了解黑客利用 WordPress 漏洞的最常见方法,将有助于您了解如何应对这些方法,以及为什么本文后面建议的步骤是必要的:
蛮力攻击
网络犯罪分子会通过反复尝试来破解密码或PIN码。他们会尝试各种常见的用户名和密码组合,直到找到正确的组合。这就像尝试钥匙环上的每一把钥匙,直到找到能用的那把。所有这些操作都是通过计算机脚本完成的,因此他们可以轻松运行成千上万种组合。只要时间足够,任何账户都有可能被破解,但强密码可以有效阻止此类攻击。
SQL注入
恶意 SQL 代码被注入数据库,以获取原本不应公开的数据库信息。根据黑客的目标,这可能导致数据库被删除、客户信息被窃取或敏感的公司信息被访问。
恶意软件
攻击者利用过期的主题或插件植入病毒或间谍软件。他们可以访问您的数据,在您的网站上插入页面进行黑帽SEO,并利用您的网站执行其他各种恶意活动。
跨站脚本攻击
攻击者会插入一段 JavaScript 代码,该代码会收集通常用于攻击 WordPress 插件的数据。这些数据可能被用来将您的网站访问者重定向到恶意内容,这种攻击也称为“XSS 攻击”。
DDoS攻击
分布式拒绝服务 (DDoS) 攻击会向网站发送大量流量,使其服务器资源不堪重负,最终导致服务器崩溃。多台机器会利用预先安装的恶意软件频繁向服务器发送请求。由于攻击的分布式特性,识别和阻止流量来源变得十分困难。
既然您已经了解了黑客会如何试图入侵您的网站安全系统,那么接下来让我们看看如何阻止和预防这些攻击……
保护 WordPress 网站的步骤
尽管您的网站可能面临多种安全威胁,但您可以采取措施降低这些风险并预防许多攻击。以下是一些保护您的 WordPress 网站免受安全攻击的推荐步骤:
1. 强制使用强密码
综上所述,所有 WordPress 用户都必须使用强密码。强密码长度应足够长,并结合大小写字母、数字和符号。密码越长越好,但 20 个字符通常就足够了。
强密码很难记住,尤其是当你为每个网站都使用不同的密码时(你应该这样做!)。这意味着密码管理器,例如LastPass或Dashlane,就显得至关重要。这些应用可以轻松创建强密码,将它们集中存储在一个位置,并通过自动填充密码功能,让你轻松登录网站。
以下是如何确保所有 WordPress 用户都使用强密码的方法。
2. 启用 WordPress 核心自动更新
使用像 WordPress 这样流行的内容管理系统 (CMS) 的优势之一在于,许多人都致力于维护其安全。成千上万的用户通过向 WordPress 团队报告漏洞来为 WordPress 的安全做出贡献。这种广泛的协作意味着大多数漏洞都能得到相对快速的修复。但是,如果包含这些修复程序的更新没有及时应用,您的网站就会容易受到攻击。
确保 WordPress 核心更新快速生效的最佳方法是启用自动更新。这样,您的 WordPress 网站就能自动保持最新状态,无需您进行任何操作。
以下是如何通过修改 config.php 文件来启用自动核心更新的方法。
3. 及时关注插件和主题更新
您必须确保插件和主题始终保持最新状态。这一点的重要性怎么强调都不为过。
此外,您还需要注意使用经常更新的插件和主题。如果您使用的插件或主题已经几个月没有更新,最好联系开发者或寻找一款更新更频繁且功能相同的插件。
在 WordPress 插件数据库中搜索插件时,侧边栏会显示以下信息:
4. 使用双因素身份验证 (2FA)
双因素身份验证为您的 WordPress 网站增加了一层保护,即使黑客知道您的用户名和密码,也几乎不可能登录您的网站。
您应该为所有 WordPress 用户设置双因素身份验证 (2FA)。使用简单易用的免费插件即可快速设置 2FA。
以下是适用于 WordPress 的双因素身份验证 (2FA) 插件解决方案列表。
5. 蛮力防护
即使启用了双因素身份验证和强密码,设置暴力破解保护仍然有助于提高服务器的整体性能,减少PHP需要执行的工作量。
6. 创建自动定时备份
如果出现问题,您应该始终拥有最新的数据库和文件备份。此外,在对网站进行任何重大更改(例如安装插件和主题更新)之前,也应该创建备份。许多流行的备份解决方案都会自动完成这些操作。
7. 更改您的登录页面
所有 WordPress 网站的默认登录页面是 sitename.com/wp-login.php 和 sitename.com/wp-admin.php。使用这些默认登录页面 URL 很容易让黑客通过尝试用户名和密码的组合来发起暴力破解攻击。而使用难以猜测的登录 URL 则能增加黑客发起暴力破解攻击的难度,因为他们无法得知登录表单的具体位置。
8. 使用 SSL
安全套接层 (SSL) 会对从您的网站发送到访客浏览器的所有数据进行加密,从而保护潜在的敏感数据。除了安全性之外,使用 SSL 还有许多其他好处。谷歌可能会提高您网站在搜索结果中的排名,而且许多浏览器会显示网站是否受 SSL 保护,这可以增强用户对网站可信度的信心。
这里有一个关于如何为 WordPress 网站设置 SSL 的教程
9. 不要使用默认数据库前缀
使用默认的“wp_”数据库前缀会使黑客更容易将代码插入到您的数据库中(SQL注入)。
10. 检查文件夹和文件权限
文件权限定义了可以对服务器上的文件执行哪些操作。您绝不应该将任何 WordPress 文件或目录的权限设置为 777。
相反,请确保您的权限方案如下所示:
文件夹 – 755 个,文件 – 644 个
以下是检查和修复 WordPress 文件和文件夹权限的指南。
11. 禁用 pingback
WordPress pingback 默认启用。但对大多数网站来说,它几乎没有任何用处。然而,它却可能被用来让你的 WordPress 网站成为 DDoS 僵尸网络的无辜参与者。
要关闭引用通知,您可以前往“设置 -> 讨论”,取消勾选“尝试通知文章中链接的所有博客”复选框。此外,最好也取消勾选“允许其他博客在新文章中发送链接通知(引用通知和引用通告)”复选框:
12. 隐藏您的 WordPress 版本号
攻击者入侵网站的方式之一是利用旧版 WordPress 中已知的漏洞。黑客可以扫描你的网站,轻松找出你正在使用的 WordPress 版本。如果该版本存在已知漏洞,黑客就能大致了解如何进行攻击。
防止这种情况发生的最佳方法是保持 WordPress 版本更新。此外,您还可以采取措施防止黑客发现您正在运行的 WordPress 版本。
13. 不要使用管理员用户名
黑客可以肯定地认为 WordPress 网站使用的是默认的“admin”用户名,而该用户名赋予了他们管理员权限,因此他们只需要破解密码即可。这为他们提供了一条直接获取网站管理员权限的途径,而且成功率很高。移除“admin”用户名可以显著增加此类攻击的难度。如果您已经在使用“admin”用户名,没关系,您可以立即更改它。
14. 使用安全的托管 WordPress 主机
支持所有主流内容管理系统的主机商很难全面保障 WordPress 的安全。而专注于 WordPress CMS 的主机商则可以投入必要的资源来抵御多种攻击。
信誉良好的托管型 WordPress 主机服务商会配备专门的安全团队,保护您的网站免受威胁。他们会处理上述诸多问题,例如 WordPress 更新、创建备份等等。Pagely 提供一套名为PressArmor的全面安全功能,可同时保障 WordPress 应用安全和服务器安全。
向潜在的 WordPress 托管服务商询问安全问题:
您的主机环境是否使用了 chroot?如果您的主机在同一服务器上托管了多个域名,请与他们确认是否使用了 chroot 来隔离每个 WordPress 应用。如果某个应用遭到黑客攻击,这将有助于防止服务器上的其他应用受到访问。
是否包含 SSL 证书且易于设置?优秀的 WordPress 主机提供商会使用 Let's Encrypt 等服务免费提供 SSL 证书。
你们是否会主动监控我的网站,特别是 WordPress 漏洞?如果检测到我的网站存在漏洞,你们会如何通知我?优秀的 WordPress 主机服务商会密切关注 WordPress 网站的最新威胁,并持续扫描您的网站是否存在这些威胁。如果他们发现漏洞,会与您合作解决。
您是否使用Web应用程序防火墙(WAF)来保护我的网站? WAF会在恶意流量到达您的网站之前将其拦截,并有助于防止XSS攻击和SQL注入。
以下是选择托管型 WordPress 主机时需要考虑的一些重要因素。
结论
WordPress 安全不容忽视,您必须采取措施保护您的网站。使用像Pagely这样的托管 WordPress 服务商是提升安全性的最佳方法之一,因为您将拥有一支经验丰富的团队专门负责保护您的网站。
无论您选择自行处理 WordPress 安全问题,还是使用专门提供 WordPress 服务的托管商,都必须将 WordPress 安全视为一项持续性工作。安全工作永无止境,但如果您已采取上述步骤,就能有效抵御许多常见威胁。
文章来源:https://dev.to/lizziekardon/the-compressive-guide-to-wordpress-security-in-2019-4j0f