此WordPress安全指南的好处有两个:
- 确切了解您在2019年需要了解的有关WordPress安全性的知识。 了解WordPress安全性可帮助您采用面向安全的心态,这将有助于您在日常决策中预防和缓解风险。
- 获取可操作的分步说明,以保护WordPress网站。 您需要采取的步骤并不是特别耗时,不需要高级技术知识,并且对链接的指南进行了审查以确保其清晰和完整。
当然,不可能涵盖所有可能的漏洞和情况。这就是为什么我们还包括总体的“ WordPress安全性原则”。如果您可以遵循这些广泛的原则,则此类帖子中难以解决的许多细节都将得到照顾。
为什么WordPress安全至关重要?
了解WordPress安全问题有多重要,因此您应该给予它应有的时间和关注,这一点很重要。以下是一些令人震惊的统计数据:
- Google每天将1万个网站列入恶意软件黑名单,每周将5万个网络钓鱼列入黑名单。 Google的黑名单会杀死该流量来源,这可能会严重破坏企业的收入。修复和删除黑名单很麻烦,尤其是如果您的服务器用于发送垃圾邮件时。电子邮件服务提供商的黑名单会损害您的传递率,从而破坏您电子邮件营销的有效性。
- 在2018年,90%的CMS黑客都是WordPress。 诚然,WordPress是世界上最受欢迎的CMS,其中34%的网络由WordPress驱动,但这仍然是不成比例的。由于各种原因,WordPress网站的针对性和利用程度超过任何其他CMS。
- 60%的攻击针对小型企业。 您可能会认为,黑客不会打扰您的网站,因为您虽小,但网络上不存在“通过隐蔽性提供安全性”。没有人太小而不能成为攻击的受害者。
- WordFence报告说,每分钟发生97,978多次攻击。
尽管这些统计数据令人震惊地描绘了您面临的挑战,但重要的是您要在2019年面对管理WordPress网站的现实。
如果您的业务依赖WordPress,那么您就不能忽视安全性。如果您没有采取措施保护您的网站,则很容易受到攻击。您的网站受到威胁只是时间问题。
WordPress安全性原则
保护WordPress不仅要检查列表框,还需要您采用以安全为导向的思维方式来指导您的决策。这些原则将帮助您在做出日常决策(例如添加新的WordPress用户,插件和主题)时避免错误:
漏洞通常由WordPress用户引入。
保持最新状态并使用强密码的Vanilla WordPress相对安全。通常是WordPress用户做出的决定会造成黑客利用的弱点。
最小化插件和主题。
新的WordPress用户通常对可用于Wordpress的广泛的插件和主题生态系统感到高兴。这可能导致随意安装插件。但是,每个新的插件或主题都会向您的站点添加代码,从而有可能添加新的漏洞。通过最小化安装的插件和主题,您还可以最小化站点使用的代码量,并通过扩展来减少潜在的安全漏洞的数量。通常,如果无需安装插件即可解决问题,那是最好的选择。
尽快安装更新。
WordPress核心的更新以及插件和主题的更新通常包含关键的安全更新。它们应尽快安装。如果您有适当的备份策略,则可以在更新引起问题的情况下回滚到以前的版本。
遵循最小特权原则。
通常,这是网络安全的核心原则,并非WordPress独有。这是一种奇特的说法:“不要给用户更多的特权,因为与黑客破坏该帐户相比,这些额外的特权为黑客提供了比其他方式更多的能力和访问权限。”
攻击仍然可能发生。
您可以尽全力掩盖所有基地,但仍然会成为攻击的受害者。这就是为什么定期自动备份至关重要的原因。不要忽略这个建议。被黑客入侵的网站可能具有破坏性,但通常可以以最小的成本和破坏来修复,而没有备份回滚的被黑客入侵的网站可能会造成严重破坏。
您将永远无法完成安全性。
拥有一个100%安全的WordPress网站是一项不可能的任务。您无法完全消除风险,因此要着眼于不断降低风险。这种“降低风险”的心态促使您继续采取措施来提高安全性,这是正在进行的,永无止境的计划的一部分。
最常见的WordPress攻击媒介
了解黑客用来利用WordPress的最常见方法将帮助您了解如何解决它们以及为什么本文后面建议的步骤是必要的:
蛮力攻击
网络罪犯使用反复试验来识别密码或密码。他们使用常见的用户名和密码的组合,直到找到正确的用户名和密码。这等效于尝试钥匙圈上的每个钥匙以找到有效的钥匙。所有这些操作都是使用计算机脚本完成的,因此他们可以非常轻松地运行数千个组合。如果有足够的时间,任何帐户都是可以入侵的,但是强大的密码可以阻止这种攻击。
SQL注入
恶意的SQL代码被注入到数据库中,以访问从未打算显示的数据库信息。根据黑客的目标,这可能导致您的数据库被删除,客户信息被盗或敏感公司信息被访问。
恶意软件
使用过期的主题或插件插入了病毒或间谍软件。攻击者可以访问您的数据,在您的网站上插入黑帽SEO的页面,以及使用您的网站执行许多其他有害活动。
跨站脚本
插入Javascript代码,然后收集通常用于利用WordPress插件的数据。这可用于将您的网站访问者重定向到恶意内容。也称为“ XSS攻击”。
DDoS攻击
分布式拒绝服务(DDoS)攻击会使网站充满流量,从而占满了服务器资源,导致其失败。为此,多台计算机使用这些计算机上安装的恶意软件向服务器频繁发送请求。攻击的分布式性质可能使识别和阻止流量来源变得困难。
现在您了解了黑客将如何尝试破坏您的站点安全,让我们看看如何阻止和阻止这些攻击……
保护您的WordPress网站的步骤
尽管可以通过多种方式破坏您的站点,但可以减轻这些风险并防止许多攻击。以下是建议的步骤列表,可保护您的WordPress网站免受安全攻击:
1.强制使用强密码
“ 81%的攻击是基于不安全或被盗的密码 ”
“ 只需大约10分钟即可破解一个6个字符长的小写密码。”
结合这两个事实,您就必须为所有Wordpress用户使用强密码。强密码很长,并且使用大小写字母,数字和符号的组合。越长越好,但20个字符可能足够。
强密码很难记住,特别是如果您为每个站点使用唯一的密码(应该!)。这意味着密码管理器(例如LastPass或Dashlane)是至关重要的工具。这些应用程序使创建强密码变得容易,将其存储在中央位置,并通过自动填充密码使登录网站变得容易。
2.打开自动Wordpress Core更新
使用流行的CMS(如WordPress)的优点之一是,有许多人对保持其安全性有既得利益。成千上万的人通过向WordPress团队报告漏洞来为WordPress安全做出贡献。这种广泛的合作意味着大多数漏洞都可以相对迅速地得到修补。但是,如果未应用包含这些修补程序的更新,则您的站点容易受到攻击。
确保WordPress核心更新快速发生的最好方法是在wp-config.php打开自动更新。这样,您的WordPress网站将保持最新状态,而无需执行任何操作。
要为主要版本或开发目的启用自动更新,请从WP_AUTO_UPDATE_CORE常量开始。定义此常数的三种方法之一使您可以一次全面启用或全面禁用几种类型的核心更新。
define( 'WP_AUTO_UPDATE_CORE', true );
WP_AUTO_UPDATE_CORE 可以用三个值之一定义,每个值产生不同的行为:
true–开发,次要和主要更新均已启用
false–开发,次要和主要更新均已禁用
minor– 启用次要更新,禁用开发和主要更新
3.紧跟插件和主题更新
您绝对必须使您的插件和主题保持最新。
您还需要小心使用经常更新的插件和主题。如果您使用的插件或主题几个月来都没有更新,那么最好与开发人员联系,或者找到一个更新频率更高的插件来实现相同的目标。
当您在WordPress插件数据库中搜索插件时,边栏中会提供以下信息:
4.使用两因素身份验证(2FA)
两因素身份验证使黑客几乎无法登录到您的站点,即使他们知道您的用户名和密码,也为您的WordPress网站增加了一层保护。
您应该为所有WordPress用户设置2FA。2FA可以使用简单,免费的插件快速设置。
5.暴力保护
即使使用2FA和强密码,也最好设置暴力保护,以通过减少PHP要做的工作量来帮助提高服务器的整体性能。
6.创建自动的计划备份
出现问题时,应该始终有最新的数据库和文件备份可用。您还应该在对网站进行任何重大更改(例如安装插件和主题更新)之前创建备份。许多流行的备份解决方案都会为您解决这一问题。
7.更改您的登录页面
所有WordPress网站的默认登录页面为sitename.com/wp-login.php和sitename.com/wp-admin.php。使用这些默认的登录页面URL,使黑客可以轻松地通过尝试使用用户名和密码的组合来发起暴力攻击。通过使用难以猜测的登录URL,这使黑客更难以发起暴力攻击,因为他们不知道登录表单的位置。
8.使用SSL
安全套接字层(SSL)对从您的网站发送到访问者浏览器的所有数据进行加密,从而掩盖了潜在的敏感数据。使用SSL除了具有安全性外,还具有许多好处。Google可能会在搜索结果中将您的网站排名更高,许多浏览器会指出该网站是否受SSL保护,从而可以确保您的网站值得信赖。
9.不要使用默认的数据库前缀
使用默认的“ wp_”数据库前缀可以使黑客更轻松地将代码插入数据库(SQL注入)。
10.检查您的文件夹和文件权限
文件权限定义可以对服务器上的文件执行哪些操作。您永远不要将任何WordPress文件或目录设置为777权限。
相反,请确保您的许可方案如下:
文件夹– 755
文件– 644
11.禁用pingbacks
WordPress pingbacks默认情况下启用。但是对于大多数站点,它们提供的好处很少。但是,它们可以用于将您的WordPress网站变成不愿意参加DDoS僵尸网络的参与者。
要关闭pingback,您可以转到“设置->讨论”,然后取消选中“尝试通知与该文章链接的任何博客”框。取消选中“允许新文章中的其他博客的链接通知(平移和引用)”复选框也是个好主意:
12.隐藏您的WordPress版本号
攻击者获得网站访问权限的一种方法是,利用WordPress过期版本中的已知漏洞。黑客可以扫描您的网站,轻松找出您使用的WordPress版本。如果该版本具有已知漏洞,则黑客对如何进行操作有很好的了解。
防止这种情况的最好方法是保持WordPress最新。但是,您还可以阻止黑客找出您正在运行的WordPress版本。
13.不要使用管理员用户名
黑客可以放心地认为WordPress网站正在使用默认的“ admin”用户名,并且该用户名将为他们提供管理员权限,因此他们所需要做的就是找出密码。这为他们提供了获得成功的极好机会的管理员访问您站点的直接途径。消除管理员用户名将使以这种方式攻击您的网站变得更加困难。如果您已经在使用管理员用户名,可以,现在就可以更改它。
14.使用安全的托管WordPress主机
支持所有主要CMS的主机将很难保持WordPress安全性。通过仅专注于WordPress CMS,WordPress托管提供商可以投入必要的资源来防止许多攻击。
信誉良好的WordPress托管主机将拥有一个安全团队,专门保护您的网站免受威胁。他们将处理上面提出的许多问题,例如照顾WordPress更新,创建备份等。
结论
WordPress的安全性不能轻描淡写,您必须采取步骤保护您的网站。无论您选择自己处理WordPress安全性,还是利用专门从事WordPress的主机,将WordPress安全性视为一项持续的工作都非常重要。安全永远不会做完,但是如果您采取了上述步骤,就可以保护自己免受许多最常见的威胁的侵害。