解决 WordPress 安全问题的 6 个技巧
已发表: 2023-03-10
目录
欢迎使用地球上最受欢迎的 CMS
WordPress 是网络攻击的最大单一目标之一。 这是因为 WordPress 是迄今为止世界上最受欢迎的内容管理系统 (CMS):根据 W3Techs 的数据,它为 43.1% 的所有网站提供支持,并拥有 63.6% 的 CMS 市场份额。 相比之下,排名第二的是 Shopify,它为 3.8% 的网站提供支持,CMS 市场份额为 5.6%。
它的免费电子商务平台 WooCommerce 本身也是一个大玩家——是世界上最受欢迎的开源电子商务解决方案。
这就提出了一个明显的问题:在保护网站上的 WordPress 安全以及防止或修复 WordPress 漏洞时,您应该怎么做? 根据我们自己在 Coalition Technologies 的网络安全最佳实践,这里是我们解决 WordPress 安全问题的 6 大技巧。
为什么选择 WordPress?
WordPress 非常灵活和强大,而且由于它是开源的,所以也非常具有成本效益和流行。 由于 WordPress 是网络上最大的平台,因此有许多网络安全专家可以帮助确保 WordPress 网站的安全,而成本仅为自定义平台的一小部分。
1.保护您的登录凭据
在解决 WordPress 安全问题时,您可以采取的最有力的步骤就是首先不要出现这些问题——保护您的登录凭据可以将数据泄露事件减少一半以上。
根据 Verizon 在其 2021 年数据泄露调查报告中的说法,61% 的数据泄露涉及以某种方式使用登录凭据。 这最常发生的原因是:
- 密码盗窃
- 蛮力攻击
- 内部滥用凭据
防止密码被盗
黑客喜欢触手可及的果实,而修复 WordPress 漏洞首先要在黑客到达之前将所有那些唾手可得的果实砍掉。
- 定期更新所有密码。 90 天(每季度一次)是一个很好的默认值。
- 使用唯一密码,切勿重复使用。 PurpleSec 说 25% 的员工对所有事情都使用相同的密码,这应该会给任何人带来麻烦。
- 妥善保存密码。 WordPress 最终会安全地处理所有事情,但如果您的员工在便签纸或 Google 文档上写下他们的密码,它们可能会泄露。
- 考虑使密码过期。 这会迫使人们更新他们的密码,但也会导致一些员工在存储密码方面变得马虎。 长期解决 WordPress 安全问题意味着使用您的密码策略来缓解此漏洞。
加强对抗暴力攻击
黑客还可以使用暴力攻击来窃取凭据。 这意味着要随机猜测密码数百万次,直到找到有效的排列。
- 限制允许的登录尝试次数。 一个好的 WordPress 安全插件会为您管理这个,同时还会修复发现的 WordPress 漏洞。
- 使用唯一的密码。 和以前一样,解决 WordPress 安全问题意味着使用唯一的密码,并且只使用一次。
- 使用可靠的密码。 密码长度至少应为 8 个字符,最好包含数字、字母和特殊字符。 这里有一些提示。 您还可以使用易于记忆的密码,这有助于减少记忆问题。 英国政府的国家网络安全中心支持三个随机词的想法——尽管四五个词更好。
- 阻止产生大量失败登录尝试的特定国家或 IP。 特别是,使用防火墙阻止这些来源访问可以访问管理面板的敏感帐户。
利用最佳实践密码保护策略
在 Coalition Technologies,我们孜孜不倦地工作以确保我们客户凭证的安全。 多年来,我们在最佳实践密码保护政策方面建立了令人自豪的记录。 同样,解决 WordPress 安全问题需要有自己的良好密码保护策略。 以下是在人力资源层面修复 WordPress 漏洞的一些指南:
- 根据需要限制登录访问。 只给员工他们需要的最低级别的权限,并且只给他们访问他们需要的选项卡和系统的权限。 将具有通用访问权限的“管理员”帐户限制在尽可能少的人数范围内。
- 部署有效的员工培训。 有时心怀不满的员工滥用密码是恶意的(在这种情况下,您可以通过如上所述限制访问来限制损害)。 但更多时候这种误用是无意的,通过良好的培训可以防止密码泄露导致的 WordPress 安全问题。 确保您的入职流程包括密码安全模块,并考虑每 12 至 24 个月部署一次定期更新模块。
2. 安装一个好的 WordPress 安全插件并遵循最佳实践
WordPress 的核心非常安全,世界一流的网络安全人才致力于确保数百万网站的安全。 但是 WordPress 也允许使用插件。 这些插件极大地扩展了 WordPress 的功能,但也引入了新的潜在安全漏洞。
然而,整个行业都是围绕保护 WordPress 插件而建立的,这些产品本身就是 WordPress 插件。 这些被称为“安全插件”的工具是解决 WordPress 安全问题和实时修复 WordPress 漏洞的必备实用程序。 安装或更新 WordPress 核心软件后的第一站应该是选择一个好的 WordPress 安全插件并正确配置它。
我们的安全插件建议
那里有很多不错的 WordPress 安全插件。 我们的客户依靠 WordPress 架构获得数百万美元的收入。 网站安全绝对至关重要。
当我们与客户合作提供广泛的 WordPress 网页设计服务时,我们特别推荐这两个插件来解决 WordPress 安全问题:
- Wordfence 安全 – 防火墙、恶意软件扫描和登录安全
- Defender Security – 恶意软件扫描程序、登录安全和防火墙
在管理客户的 WordPress 网站时,我们通常会为客户使用这些安全插件。
确保正确的安全插件设置
Semrush 的关键字研究专家推荐以下关键步骤来先发制人地解决 WordPress 安全问题:
- 限制允许的登录尝试次数。 我们已经介绍了这一点,但值得重复作为抢先修复 WordPress 漏洞的绝佳方法。
- 从公众视野中隐藏您的登录页面。 您站点的访问者应该无法通过站点导航或猜测 URL 到达您的登录页面。 登录页面 URL 应该是模糊的,并且与其他页面没有链接。
- 从搜索引擎索引中删除后端、管理和购物车页面。 这些页面显然更容易受到黑客攻击,因此在这种情况下,解决 WordPress 安全问题意味着将这些页面排除在搜索结果之外。
- 定期备份您的网站。 您可以手动或自动执行此操作,但要定期执行。 任何没有备份的东西都应该被认为是丢失了——因为这就是它在勒索软件攻击之类的事情中的结果。 备份应存放在不同的服务器上,并使用不同的访问凭证。 在可行的情况下,保留本地“冷”备份也是明智之举。 这对于小型企业尤其重要。
3. 安装前仔细审核主题和插件
当谈到其他 WordPress 插件(除了安全插件)和 WordPress 主题时,了解您正在处理的产品和质量范围非常广泛是至关重要的。 任何修复 WordPress 漏洞的好策略都意味着在审核这些应用程序时进行大量尽职调查。
许多插件和主题都非常稳固,并提供您的网站蓬勃发展所需的基本功能和布局选项。 其他插件和主题设计不当,容易受到黑客的安全攻击。 还有一些是彻头彻尾的恶意软件。
WordPress 在通过阻止恶意软件和垃圾邮件来解决插件和主题的 WordPress 安全问题时保持警惕,但有时这些坏鸡蛋中的一些会通过。 以下是审核您感兴趣的插件和主题的一些最佳实践:
- 高下载数通常更安全。 恶意软件很早就被发现,糟糕的主题和插件永远不会流行,所以只有有效的东西才有可能获得很高的下载量。
- 大量积极的用户评论是一个可靠的衡量标准。 如果很多人对插件或主题给予完美或接近完美的星级评价,这是一个好兆头。 但请确保您也阅读了一些中差评和差评,以了解人们有什么样的抱怨。
- 在网络上搜索谈论他们使用这些插件的经验的企业和新闻机构。 在为您的企业解决 WordPress 安全问题和修复 WordPress 漏洞时,用户评论可能没有您想要的深度或可信度。 因此,上网寻找您信任的名字。 查看他们对这些应用程序的评价。
你应该从哪里获得插件?
如有疑问,请从信誉良好的来源选择 WordPress 插件:
- 官方 WordPress 插件存储库是您最好的选择,如果您只从一个来源获取插件,请从此处获取。
- 信誉良好的第三方插件市场,例如 CodeCanyon,是另一个很好的插件来源。 信誉良好的市场非常重视解决 WordPress 安全问题,因为它们的声誉取决于此。
- WP 插件开发者网站,如 WPMU DEV 是另一个高质量的插件来源。 这些职业 WordPress 插件开发人员社区聚集在一起,以提高其产品的知名度和可信度。
好的插件有好的开发团队,这些插件中的漏洞通常会被构建它们的独立开发人员或机构迅速修补。 如果不是,通常有许多不同的替代插件可以安全地提供相同的功能。
4.更新所有内容并重新审核
让您的软件落后很容易,因为更新需要时间(以及修复被更新破坏的东西所需的时间),但这很糟糕,因为其中许多更新包含修复 WordPress 漏洞或 WordPress 插件中的漏洞的补丁或主题。 这就是为什么像 Search Engine Journal 这样的组织建议您使您的插件和主题保持最新。
没有糖衣:这是我们解决 WordPress 安全问题最耗时的技巧之一。 但你必须投入时间,否则,你就是在为网络攻击者敞开大门。
这包括核心 WordPress 软件、它运行的 PHP 版本以及所有主题和插件。 当有新的更新可用时,这一切都需要更新——而且,当你更新它时,所有受影响的插件和功能都需要再次审核,以确保一切正常。
分配持续人力
跟上您的 WordPress 核心更新和插件更新必须成为某人工作描述的一部分。 如果通过预防性更新解决 WordPress 安全问题不在某些人的考虑范围之内,那么这种事情往往会被遗忘。
更新软件和修复 WordPress 漏洞不会直接产生销售,但可以防止潜在的灾难性成本,因此应相应地进行预算。 通过确保您的系统管理员或 IT 团队有足够的带宽来掌握更新,确保您的公司取得成功。
在 Coalition Technologies,我们始终关注更新,这是我们帮助客户实现可持续长期增长的成功战略的一部分。
小心更新
关于通过在更新发布时认真安装更新来解决 WordPress 安全问题的一件事:WordPress 审查所有提交到其官方存储库的插件,以过滤掉垃圾邮件,检测常见的严重错误,并确保插件符合 WordPress准则。
但是,一旦插件被批准并列出,WordPress 就无法在每次更新插件时再次审核所有这些第三方插件。 插件的代码库在初次审查后可能而且经常会发生重大变化,而 WordPress 不会知道。
这通常出于合法原因而发生——例如,用户体验升级、修复 WordPress 漏洞和错误以及添加新功能。 但是黑客可以通过安装通过测试的插件的初始版本,然后在后续更新中添加恶意软件来玩弄系统。 当现有插件被放弃或出售,恶意第三方接管并添加恶意软件时,也会发生这种情况。 这意味着解决 WordPress 安全问题的一些工作落到了您身上。
插件更新时一定要查看更新说明,不要在没有外部验证的情况下急于成为尝鲜者:先看看别人怎么说。
利用漏洞查找服务
您还可以使用诸如 WPScan 漏洞数据库之类的服务,它可以通过提早通知您新发现的安全风险来帮助您解决 WordPress 安全问题。
如果您与 Coalition Technologies 合作管理您的 WordPress 网站,我们会进行我们自己的所有 WordPress 主题和插件审查,并负责修复您的网站暴露的 WordPress 漏洞——让您高枕无忧并卸载一项耗时的任务.
5. 识别网络钓鱼攻击
网络安全漏洞的一个主要来源是网络钓鱼,虽然这是一种互联网范围内的现象,但仍应在 WP 用例和解决 WordPress 安全问题的背景下进行讨论。 网络钓鱼者经常欺骗 WordPress 本身或欺骗客户电子邮件。 网络安全公司 Varonis 对网络钓鱼的工作原理有很好的介绍。
任何带有您无法控制的超链接的内容(网站、数字文档等)都可能是网络钓鱼攻击,尤其是电子邮件。
当心收到的电子邮件
几乎所有网络钓鱼攻击都始于电子邮件。 (根据 CyberTalk.org 的数据,这一比例大约为 90%。)这意味着企业需要向员工传授电子邮件自卫最佳实践。 这与其说是修复 WordPress 漏洞,不如说是防止您团队的行为成为网络安全攻击的载体。
确保为您的 DNS 设置了正确的 DMARC 和 SPF 记录,这将阻止人们在电子邮件中使用您的域,因为它们要么变成垃圾邮件,要么永远不会发送,具体取决于 DMARC 策略集.
防范虚假链接
网络钓鱼者使用虚假链接,这些链接有时会伪装成看起来像 Google 等常见网站。 通过防止网络钓鱼来解决 WordPress 安全问题的一种方法是更改您网站的 X-Frame-Options 的安全标头,这将不允许外部网站在 iframe 中使用您的网站。
使用真实网址
最后,不要使用链接缩短器,它不会向用户透露最终目标网站。
6.保护您的网络
解决 WordPress 安全问题的另一个重要技巧是保护您的网络。 在这个远程办公和全球工作场所增加的大流行时代,公司经常通过 Internet 传输关键信息,从而为安全漏洞创造了许多机会。
WordPress 是一个非常灵活的平台,这意味着您可以使用在线找到的简单代码片段修补通常可利用的方法,例如禁用 XMLRPC 和需要身份验证才能访问 WP-JSON。 修复 WordPress 漏洞通常与安装和使用适当的插件一样简单。
此外,使用 WordPress 插件还可以使用多重身份验证选项。
实践扎实的准备和预防
Cloudflare 和许多其他 Web 应用程序防火墙专门设计了他们的 WAF 来保护 WordPress 应用程序免受不同的常见攻击类型和模式。 许多托管服务提供商免费提供每日备份服务,例如 WP Engine。
与 Coalition Technologies 合作进行 WordPress 设计和开发
在 Coalition,我们提供完整的 WordPress 设计和开发服务,可以独立提供,也可以与我们屡获殊荣的 SEO 和数字营销服务结合使用。 当您与我们合作时,我们今天讨论的有关解决 WordPress 安全问题和修复 WordPress 漏洞的所有内容都包含在我们的服务中。
请参阅我们的 WordPress 服务常见问题解答。 我们很乐意与您合作! 联系我们讨论您网站的需求。