解決 WordPress 安全問題的 6 個技巧
已發表: 2023-03-10
目錄
歡迎使用地球上最受歡迎的 CMS
WordPress 是網絡攻擊的最大單一目標之一。 這是因為 WordPress 是迄今為止世界上最受歡迎的內容管理系統 (CMS):根據 W3Techs 的數據,它為 43.1% 的所有網站提供支持,並擁有 63.6% 的 CMS 市場份額。 相比之下,排名第二的是 Shopify,它為 3.8% 的網站提供支持,CMS 市場份額為 5.6%。
它的免費電子商務平台 WooCommerce 本身也是一個大玩家——是世界上最受歡迎的開源電子商務解決方案。
這就提出了一個明顯的問題:在保護網站上的 WordPress 安全以及防止或修復 WordPress 漏洞時,您應該怎麼做? 根據我們自己在 Coalition Technologies 的網絡安全最佳實踐,這裡是我們解決 WordPress 安全問題的 6 大技巧。
為什麼選擇 WordPress?
WordPress 非常靈活和強大,而且由於它是開源的,所以也非常具有成本效益和流行。 由於 WordPress 是網絡上最大的平台,因此有許多網絡安全專家可以幫助確保 WordPress 網站的安全,而成本僅為自定義平台的一小部分。
1.保護您的登錄憑據
在解決 WordPress 安全問題時,您可以採取的最有力的步驟就是首先不要出現這些問題——保護您的登錄憑據可以將數據洩露事件減少一半以上。
根據 Verizon 在其 2021 年數據洩露調查報告中的說法,61% 的數據洩露涉及以某種方式使用登錄憑據。 這最常發生的原因是:
- 密碼盜竊
- 蠻力攻擊
- 內部濫用憑據
防止密碼被盜
黑客喜歡觸手可及的果實,而修復 WordPress 漏洞首先要在黑客到達之前將所有那些唾手可得的果實砍掉。
- 定期更新所有密碼。 90 天(每季度一次)是一個很好的默認值。
- 使用唯一密碼,切勿重複使用。 PurpleSec 說 25% 的員工對所有事情都使用相同的密碼,這應該會給任何人帶來麻煩。
- 妥善保存密碼。 WordPress 最終會安全地處理所有事情,但如果您的員工在便籤紙或 Google 文檔上寫下他們的密碼,它們可能會洩露。
- 考慮使密碼過期。 這會迫使人們更新他們的密碼,但也會導致一些員工在存儲密碼方面變得馬虎。 長期解決 WordPress 安全問題意味著使用您的密碼策略來緩解此漏洞。
加強對抗暴力攻擊
黑客還可以使用暴力攻擊來竊取憑據。 這意味著要隨機猜測密碼數百萬次,直到找到有效的排列。
- 限制允許的登錄嘗試次數。 一個好的 WordPress 安全插件會為您管理這個,同時還會修復發現的 WordPress 漏洞。
- 使用唯一的密碼。 和以前一樣,解決 WordPress 安全問題意味著使用唯一的密碼,並且只使用一次。
- 使用可靠的密碼。 密碼長度至少應為 8 個字符,最好包含數字、字母和特殊字符。 這裡有一些提示。 您還可以使用易於記憶的密碼,這有助於減少記憶問題。 英國政府的國家網絡安全中心支持三個隨機詞的想法——儘管四五個詞更好。
- 阻止產生大量失敗登錄嘗試的特定國家或 IP。 特別是,使用防火牆阻止這些來源訪問可以訪問管理面板的敏感帳戶。
利用最佳實踐密碼保護策略
在 Coalition Technologies,我們孜孜不倦地工作以確保我們客戶憑證的安全。 多年來,我們在最佳實踐密碼保護政策方面建立了令人自豪的記錄。 同樣,解決 WordPress 安全問題需要有自己的良好密碼保護策略。 以下是在人力資源層面修復 WordPress 漏洞的一些指南:
- 根據需要限制登錄訪問。 只給員工他們需要的最低級別的權限,並且只給他們訪問他們需要的選項卡和系統的權限。 將具有通用訪問權限的“管理員”帳戶限制在盡可能少的人數範圍內。
- 部署有效的員工培訓。 有時心懷不滿的員工濫用密碼是惡意的(在這種情況下,您可以通過如上所述限制訪問來限制損害)。 但更多時候這種誤用是無意的,通過良好的培訓可以防止密碼洩露導致的 WordPress 安全問題。 確保您的入職流程包括密碼安全模塊,並考慮每 12 至 24 個月部署一次定期更新模塊。
2. 安裝一個好的 WordPress 安全插件並遵循最佳實踐
WordPress 的核心非常安全,世界一流的網絡安全人才致力於確保數百萬網站的安全。 但是 WordPress 也允許使用插件。 這些插件極大地擴展了 WordPress 的功能,但也引入了新的潛在安全漏洞。
然而,整個行業都是圍繞保護 WordPress 插件而建立的,這些產品本身就是 WordPress 插件。 這些被稱為“安全插件”的工具是解決 WordPress 安全問題和實時修復 WordPress 漏洞的必備實用程序。 安裝或更新 WordPress 核心軟件後的第一站應該是選擇一個好的 WordPress 安全插件並正確配置它。
我們的安全插件建議
那裡有很多不錯的 WordPress 安全插件。 我們的客戶依靠 WordPress 架構獲得數百萬美元的收入。 網站安全絕對至關重要。
當我們與客戶合作提供廣泛的 WordPress 網頁設計服務時,我們特別推薦這兩個插件來解決 WordPress 安全問題:
- Wordfence 安全 – 防火牆、惡意軟件掃描和登錄安全
- Defender Security – 惡意軟件掃描程序、登錄安全和防火牆
在管理客戶的 WordPress 網站時,我們通常會為客戶使用這些安全插件。
確保正確的安全插件設置
Semrush 的關鍵字研究專家推薦以下關鍵步驟來先發製人地解決 WordPress 安全問題:
- 限制允許的登錄嘗試次數。 我們已經介紹了這一點,但值得重複作為搶先修復 WordPress 漏洞的絕佳方法。
- 從公眾視野中隱藏您的登錄頁面。 您站點的訪問者應該無法通過站點導航或猜測 URL 到達您的登錄頁面。 登錄頁面 URL 應該是模糊的,並且與其他頁面沒有鏈接。
- 從搜索引擎索引中刪除後端、管理和購物車頁面。 這些頁面顯然更容易受到黑客攻擊,因此在這種情況下,解決 WordPress 安全問題意味著將這些頁面排除在搜索結果之外。
- 定期備份您的網站。 您可以手動或自動執行此操作,但要定期執行。 任何沒有備份的東西都應該被認為是丟失了——因為這就是它在勒索軟件攻擊之類的事情中的結果。 備份應存放在不同的服務器上,並使用不同的訪問憑證。 在可行的情況下,保留本地“冷”備份也是明智之舉。 這對於小型企業尤其重要。
3. 安裝前仔細審核主題和插件
當談到其他 WordPress 插件(除了安全插件)和 WordPress 主題時,了解您正在處理的產品和質量範圍非常廣泛是至關重要的。 任何修復 WordPress 漏洞的好策略都意味著在審核這些應用程序時進行大量盡職調查。
許多插件和主題都非常穩固,並提供您的網站蓬勃發展所需的基本功能和佈局選項。 其他插件和主題設計不當,容易受到黑客的安全攻擊。 還有一些是徹頭徹尾的惡意軟件。
WordPress 在通過阻止惡意軟件和垃圾郵件來解決插件和主題的 WordPress 安全問題時保持警惕,但有時這些壞雞蛋中的一些會通過。 以下是審核您感興趣的插件和主題的一些最佳實踐:
- 高下載數通常更安全。 惡意軟件很早就被發現,糟糕的主題和插件永遠不會流行,所以只有有效的東西才有可能獲得很高的下載量。
- 大量積極的用戶評論是一個可靠的衡量標準。 如果很多人對插件或主題給予完美或接近完美的星級評價,這是一個好兆頭。 但請確保您也閱讀了一些中差評和差評,以了解人們有什麼樣的抱怨。
- 在網絡上搜索談論他們使用這些插件的經驗的企業和新聞機構。 在為您的企業解決 WordPress 安全問題和修復 WordPress 漏洞時,用戶評論可能沒有您想要的深度或可信度。 因此,上網尋找您信任的名字。 查看他們對這些應用程序的評價。
你應該從哪裡獲得插件?
如有疑問,請從信譽良好的來源選擇 WordPress 插件:
- 官方 WordPress 插件存儲庫是您最好的選擇,如果您只從一個來源獲取插件,請從此處獲取。
- 信譽良好的第三方插件市場,例如 CodeCanyon,是另一個很好的插件來源。 信譽良好的市場非常重視解決 WordPress 安全問題,因為它們的聲譽取決於此。
- WP 插件開發者網站,如 WPMU DEV 是另一個高質量的插件來源。 這些職業 WordPress 插件開發人員社區聚集在一起,以提高其產品的知名度和可信度。
好的插件有好的開發團隊,這些插件中的漏洞通常會被構建它們的獨立開發人員或機構迅速修補。 如果不是,通常有許多不同的替代插件可以安全地提供相同的功能。
4.更新所有內容並重新審核
讓您的軟件落後很容易,因為更新需要時間(以及修復被更新破壞的東西所需的時間),但這很糟糕,因為其中許多更新包含修復 WordPress 漏洞或 WordPress 插件中的漏洞的補丁或主題。 這就是為什麼像 Search Engine Journal 這樣的組織建議您使您的插件和主題保持最新。
沒有糖衣:這是我們解決 WordPress 安全問題最耗時的技巧之一。 但你必須投入時間,否則,你就是在為網絡攻擊者敞開大門。
這包括核心 WordPress 軟件、它運行的 PHP 版本以及所有主題和插件。 當有新的更新可用時,這一切都需要更新——而且,當你更新它時,所有受影響的插件和功能都需要再次審核,以確保一切正常。
分配持續人力
跟上您的 WordPress 核心更新和插件更新必須成為某人工作描述的一部分。 如果通過預防性更新解決 WordPress 安全問題不在某些人的考慮範圍之內,那麼這種事情往往會被遺忘。
更新軟件和修復 WordPress 漏洞不會直接產生銷售,但可以防止潛在的災難性成本,因此應相應地進行預算。 通過確保您的系統管理員或 IT 團隊有足夠的帶寬來掌握更新,確保您的公司取得成功。
在 Coalition Technologies,我們始終關注更新,這是我們幫助客戶實現可持續長期增長的成功戰略的一部分。
小心更新
關於通過在更新發佈時認真安裝更新來解決 WordPress 安全問題的一件事:WordPress 審查所有提交到其官方存儲庫的插件,以過濾掉垃圾郵件,檢測常見的嚴重錯誤,並確保插件符合 WordPress準則。
但是,一旦插件被批准並列出,WordPress 就無法在每次更新插件時再次審核所有這些第三方插件。 插件的代碼庫在初次審查後可能而且經常會發生重大變化,而 WordPress 不會知道。
這通常出於合法原因而發生——例如,用戶體驗升級、修復 WordPress 漏洞和錯誤以及添加新功能。 但是黑客可以通過安裝通過測試的插件的初始版本,然後在後續更新中添加惡意軟件來玩弄系統。 當現有插件被放棄或出售,惡意第三方接管並添加惡意軟件時,也會發生這種情況。 這意味著解決 WordPress 安全問題的一些工作落到了您身上。
插件更新時一定要查看更新說明,不要在沒有外部驗證的情況下急於成為嚐鮮者:先看看別人怎麼說。
利用漏洞查找服務
您還可以使用諸如 WPScan 漏洞數據庫之類的服務,它可以通過提早通知您新發現的安全風險來幫助您解決 WordPress 安全問題。
如果您與 Coalition Technologies 合作管理您的 WordPress 網站,我們會進行我們自己的所有 WordPress 主題和插件審查,並負責修復您的網站暴露的 WordPress 漏洞——讓您高枕無憂並卸載一項耗時的任務.
5. 識別網絡釣魚攻擊
網絡安全漏洞的一個主要來源是網絡釣魚,雖然這是一種互聯網範圍內的現象,但仍應在 WP 用例和解決 WordPress 安全問題的背景下進行討論。 網絡釣魚者經常欺騙 WordPress 本身或欺騙客戶電子郵件。 網絡安全公司 Varonis 對網絡釣魚的工作原理有很好的介紹。
任何帶有您無法控制的超鏈接的內容(網站、數字文檔等)都可能是網絡釣魚攻擊,尤其是電子郵件。
當心收到的電子郵件
幾乎所有網絡釣魚攻擊都始於電子郵件。 (根據 CyberTalk.org 的數據,這一比例大約為 90%。)這意味著企業需要向員工傳授電子郵件自衛最佳實踐。 這與其說是修復 WordPress 漏洞,不如說是防止您團隊的行為成為網絡安全攻擊的載體。
確保為您的 DNS 設置了正確的 DMARC 和 SPF 記錄,這將阻止人們在電子郵件中使用您的域,因為它們要么變成垃圾郵件,要么永遠不會發送,具體取決於 DMARC 策略集.
防範虛假鏈接
網絡釣魚者使用虛假鏈接,這些鏈接有時會偽裝成看起來像 Google 等常見網站。 通過防止網絡釣魚來解決 WordPress 安全問題的一種方法是更改您網站的 X-Frame-Options 的安全標頭,這將不允許外部網站在 iframe 中使用您的網站。
使用真實網址
最後,不要使用鏈接縮短器,它不會向用戶透露最終目標網站。
6.保護您的網絡
解決 WordPress 安全問題的另一個重要技巧是保護您的網絡。 在這個遠程辦公和全球工作場所增加的大流行時代,公司經常通過 Internet 傳輸關鍵信息,從而為安全漏洞創造了許多機會。
WordPress 是一個非常靈活的平台,這意味著您可以使用在線找到的簡單代碼片段修補通常可利用的方法,例如禁用 XMLRPC 和需要身份驗證才能訪問 WP-JSON。 修復 WordPress 漏洞通常與安裝和使用適當的插件一樣簡單。
此外,使用 WordPress 插件還可以使用多重身份驗證選項。
實踐紮實的準備和預防
Cloudflare 和許多其他 Web 應用程序防火牆專門設計了他們的 WAF 來保護 WordPress 應用程序免受不同的常見攻擊類型和模式。 許多託管服務提供商免費提供每日備份服務,例如 WP Engine。
與 Coalition Technologies 合作進行 WordPress 設計和開發
在 Coalition,我們提供完整的 WordPress 設計和開發服務,可以獨立提供,也可以與我們屢獲殊榮的 SEO 和數字營銷服務結合使用。 當您與我們合作時,我們今天討論的有關解決 WordPress 安全問題和修復 WordPress 漏洞的所有內容都包含在我們的服務中。
請參閱我們的 WordPress 服務常見問題解答。 我們很樂意與您合作! 聯繫我們討論您網站的需求。