WordPress安全:强化WordPress简介

你有多少次走出你的房子的前门仅仅几分钟,而不费心锁前门?可能不止一次,正确的?What about leaving your car unlocked for just a few minutes — seriously,在一个寒冷的雨天早晨,谁会偷你的车,而你却要花两分钟的时间去喝一杯热咖啡?是吗?

这是人性。We rarely worry about managing a potential risk until it's too late.Once someone breaks into your house,偷了你的车,或者侵入你的WordPress网站,xf115兴发手机版然后你开始担心。

The problem with all these scenarios is that by the time it happens,太晚了。你只剩下捡碎片了,收拾残局,尽量减少损失。With just a little bit of planning and prevention,你很有可能避免了整个局面。

显然,这篇文章不是关于你的车和房子的,这是关于你的WordPress网站和你可以采取的措施xf115兴发手机版来最小化你潜在的漏洞。问题是,安全始于正确的态度。这是一种预防和管理处于最前沿的态度——不要交叉手指,希望它永远不会发生——因为如果你的网站被黑客攻击,这不是一种情况,xf115兴发手机版但是什么时候。

让你的网站被黑客攻击对一xf115兴发手机版个随便的博主来说可能是一个小麻烦,对于一个成熟的企业来说,主要的安全失效。If you're dealing with any kind of private or sensitive information on behalf of customers,a security breach could potentially be devastating to both you and your customers.

WordPress安全徽标

WordPress安全是一个复杂的主题,毫无疑问。本指南将帮助您了解一些最重要的问题。The end result being an overall better understanding of how you can manage the risks associated with建立一个WordPress网站xf115兴发手机版-世界上最流行的内容管理系统。

The first step to implementing better security practices comes with understanding and being able to assess the risks you're facing.

关于WordPress安全风险的真相

根据W3TECHS,WordPressCMS平台的使用占全球网站的25%以上。xf115兴发手机版正是这个数字使得WordPress成为黑客们的热门目标。很简单,there are lots of potential victims to pick from.

WordPress的流行也导致了一个包含超过42个000个插件-每个插件都有可能打开更多的漏洞。我们甚至没有考虑到WordPress存储库中没有的插件。

听到这些统计数据可能会让你觉得WordPress是一个天生不安全的平台。但你的印象是不正确的。WordPress实际上非常安全。Wordpress团队take security very seriously and have a well-defined process for managing potential vulnerabilities.

With a team of approximately 25 security experts that include both developers and researchers,to say they are proactive would be an understatement.WordPress还与外部安全专家和托管公司密切合作。此外,必要时,WordPress将与其他团队合作解决漏洞,就像他们在3.9.2版本发布后对Drupal所做的那样。

In truth,绝大多数WordPress安全漏洞都是我们最喜欢WordPress的结果,它是可扩展性。缺乏高技能的专业人员意味着许多主题和插件的发布都存在未知的漏洞,甚至没有发布前的安全审计就可以使用。因此,他们容易受到攻击。

为什么会有人想要入侵你的WordPress网站?xf115兴发手机版是吗?

作为一个经营小型企业网站甚至是一个简单博客的人,xf115兴发手机版you might find yourself wondering,他说:“这是一个很好的选择。”为什么是我?他说:“这是一个很好的选择。”Why on earth would a hacker want spend their valuable time trying to hack into your xf115兴发手机版website?事实证明,原因有很多种,其中包括:

1–搜索引擎优化–如果黑客能够访问您的网站,他们可以使用您的网站,通过插入回链接来改进其他网站的SEO。xf115兴发手机版或者,他们可以插入旨在销售东西的附属链接(通常很少或没有价值,事实证明)。基本上,他们在这里所做的是利用你的网站的良好声誉来进一步他们自己的恶意原因。xf115兴发手机版

2垃圾邮件– If you find that you xf115兴发手机版website traffic has all but disappeared in a short period of time,有可能你的网站被黑客攻击,目的是发送垃圾邮件。结果是你的网站被列入黑名单。xf115兴发手机版一旦黑客使用并滥用了您的网站和主机帐户,xf115兴发手机版they simply move on to the next victim,让你来收拾残局。

3-恶意软件–恶意软件是指恶意软件。Hackers love to place malware on other xf115兴发手机版websites because it reduces the likelihood of them being identified as the original source.恶意软件可以做很多不同的事情,包括监视用户的行为,键盘记录,传播病毒等。

4 – THEFT–普通人在电脑上存储大量的个人信息:密码,信用卡信息,银行信息,还有更多。访问你的WordPress网站可以为你的个人信息,甚至是访客电脑上xf115兴发手机版的信息提供一个入口。

5–攻击其他站点–有时黑客的目标是让用户无法访问网站。xf115兴发手机版这些攻击通常被称为拒绝服务攻击。为了完成任务,黑客会恶意的”招募”协助攻击的网站网络。xf115兴发手机版

Of course,这些并不是黑客试图访问你的WordPress网站的唯一原因,xf115兴发手机版但你有一个大概的想法。他们可能是为了恶意使用你的WordPress网站,xf115兴发手机版or they might just be taking advantage of the fact that there is an open door with the potential to lead to an even bigger reward.

目标攻击与非目标攻击

在我们开始讨论具体的预防措施之前,了解针对WordPress网站的两种主要攻击类型是很有价值的:xf115兴发手机版

我们要讨论的第一类攻击不是个人攻击,这意味着攻击者并不是为了得到你或你的生意。这就是你所说的非靶标— automated attacks that look for a way to take advantage of a known vulnerability.Many hackers are inherently lazy (or smart,视情况而定)。他们使用能够扫描广泛IP地址的自动化工具,例如,all the xf115兴发手机版websites located on a particular shared hosting server.

当他们扫描一系列IP地址时,the tool they use is looking for a specific version or WordPress or a plugin that indicates a potentially exploitable vulnerability.

我们将介绍一些您可以在几分钟内阻止非目标攻击的具体方法,但首先,让我们谈谈更个人化的事情:目标攻击.

当黑客有意识地决定攻击你的网站时,就会发生有针对性的攻击。xf115兴发手机版吸引力法则规定你的网站越受欢迎,xf115兴发手机版越有可能成为目标。很有可能你甚至不知道它为什么会成为目标。重要的是它正在发生,你需要找到一种方法来减轻损害,然后防止它在将来再次发生。

Two examples of targeted attacks would be the recent and well-publicized attack againstAshley Madison以及发生在智能被动收入Blog back in 2013.这两起针对性攻击都造成了相当大的财务损失。在阿什利·麦迪逊的例子中,有几起案件中,警方报告称,由于敏感信息被释放,导致人员死亡。

There is not much you can do to prevent a targeted attack from occurring.What you can do is harden your site to the make the process as challenging as possible for a hacker.Then,交叉你的手指,他们会朝一个更容易的目标移动。

Understanding Common WordPress Security Vulnerabilities

Web应用程序安全的最前沿是OWASP(开放式Web应用程序安全项目)-负责改善全球软件安全的非营利组织。OWASP also produces a document called the OWASP Top 10 that is designed to summarize the most exploitable security flaws across a wide variety of web applications.

OWASP Wordpress安全

理想的,any time a plugin or theme is released,开发人员将考虑OWASP发布的漏洞列表,以确保其代码安全。

你可以想象,这是最好的情况,and not every developer takes the time to consider the vulnerabilities contained in the document.They may not even have the skill required to do so.

In the event that a theme or plugin is released with security vulnerabilities,the WordPress security team will make an attempt to notify the developer and help them repair the vulnerabilities.在不可能或漏洞严重的情况下,已知安全团队会从存储库中删除主题或插件,并自己对其进行修补。

下一步,let's take a look at the actual OWASP Top 10.请记住,前十个列表中的大多数漏洞都可以通过某种方式与WordPress捆绑在一起-我们将以更详细的例子介绍其中的两个漏洞。

OWASP前10名

  1. A1–注射
  2. a2–中断的身份验证和会话管理
  3. A3–跨站点脚本XSS
  4. A4–不安全的直接对象引用
  5. A5–安全配置错误
  6. A6–敏感数据暴露
  7. A7–功能级别访问控制缺失
  8. A8 – Cross-Site Request Forgery
  9. A9–使用具有已知漏洞的组件
  10. A10–未验证的重定向和转发

A1注射液

WordPress使用SQL与您的数据库进行通信,从而使其容易受到SQL注入攻击。例如,设计用于从数据库中提取敏感信息的恶意语句可以输入表单字段。This process might be handled manually but a hacker can also automate the process using a tool likeBurp套件教程-其中,具有讽刺意味的是,也是安全专业人员用来测试安全漏洞的工具。

黑客可以从在输入字段中生成简单的错误消息到提取数据库中包含的用户帐户列表。显然,这是一个简单的解释,但这也说明了一个小的漏洞是如何导致敏感信息的释放的。SQL注入攻击是WordPress生态系统面临的主要漏洞之一。

A3跨站点脚本(XSS)

XSS vulnerabilities are extremely common and equally complicated — there are several variations of XSS attacks such as reflective,持久的,我们在这里不会详细讨论。However,我们应该,至少,介绍与WordPress相关的基础知识。

利用XSS漏洞需要两个无辜方。第一,a vulnerable WordPress xf115兴发手机版website is needed,and second an unwilling visitor.本质上,当黑客发现一个易受攻击的网站时,他们会分发恶意脚本(例如通过电子邮件)。xf115兴发手机版当用户单击包含恶意脚本的链接时,它会将其指向易受攻击的网站。xf115兴发手机版然后,网xf115兴发手机版站将脚本反射回访问者浏览器,在浏览器中执行脚本是自愿的,因为它来自一个被认为是安全的网站。

恶意脚本可以执行多种活动。Some examples are:

  • 正在窃取会话凭据。
  • 替换登录屏幕的表单操作,以便在单击提交时,您的登录详细信息将发送给黑客,而不是登录您的网站。xf115兴发手机版
  • 捕获击键并将其发送回黑客。

在许多众所周知的插件中报告并修复了XSS漏洞,包括:

这个列表代表了有问题的插件的一小部分。但即使是从这个著名的插件列表中,您可以想象有多少用户可能受到影响。记住,黑客并不总是第一个发现漏洞的人。在许多情况下,好人首先发现漏洞,并在更严重的问题出现之前提供补丁。

如何管理WordPress安全性

如果你花时间通读这篇文章的第一部分,轻拍自己的后背。虽然这是一个非常基本的概述,您可能比每天使用该平台的大多数人更了解WordPress的漏洞(包括类型和潜在风险)。

这真的只是拼图的一半,正确的?既然你对风险有了更好的了解,你能采取什么措施来降低这种风险?是吗?

你首先需要了解的是,没有一个WordPress网站是100%安全的。xf115兴发手机版Oftentimes,最好的方法是保护您的站点免受最大和最常见的威胁。Remember the house and car analogies that we mentioned in our introduction?有时候,锁门只是战斗的一半。But where do you start?是吗?

我们联系了托尼·佩雷斯苏居里and asked about the top security threats that a small business owner running WordPress needs to be concerned about for 2016 and beyond.如果你想直接从知道他们在说什么的人那里听到,here's what Tony had to say:

Beyond is a very big term,尤其是当谈到安全时,因为它是一种不断进化的动物。考虑到这一点,关于WordPress的安全性,我想说的是,在过去的两年中,攻击向量是相当一致的。It's revolved around two very distinct vectors – Access Control and Software Vulnerabilities.

Access control being how the environment is logged into – think wp-admin in WordPress,但要想的不仅仅是访问服务器和托管帐户。访问是一个巨大的因素,我们经常听到被剥削的消息(即,被攻击)当你听说暴力攻击之类的事情时。

Software vulnerabilities,特别是利用上述漏洞,对WordPress用户来说是一个很大的问题。不是因为平台本身,but because of its extensibility and the plethora of plugins / themes available,缺乏熟练的专业人员,相对于平台的采用。

有一个新玩家,到内容管理系统/消费者网站,xf115兴发手机版虽然,我认为在未来的一年里会开始增长,这就是针对网站可用性的攻击(WordPress和其他)。xf115兴发手机版

As platforms continue to strengthen their development practices,开发环境变得越来越困难,这是一个自然的过程。还有一件事继续受到攻击,然而,不费吹灰之力-相对而言,is the availability of a xf115兴发手机版website.这些攻击将以拒绝服务和分布式拒绝服务攻击的形式出现。

如何强化你的WordPress网站xf115兴发手机版

苏居里Wordpress

虽然本文的目的不是回顾WordPress安全插件或服务,we still want to give you some actionable ideas.这么多人最终被黑客攻击WordPress网站的原因是,他们没有采取任何预防措施,直到为时已晚。xf115兴发手机版

我们认为这是从另一位WordPress安全专家那里得到反馈的好时机,所以我们问罗伯特·亚伯拉wp白色安全,他说:“这是一个很好的选择。”What do you think are the top 2-3 security mistakes that WordPress users make when maintaining their xf115兴发手机版websites?他说:“这是一个很好的选择。”他说:“这是一个很好的选择。”

他毫不犹豫地回答:

我们可以犯很多安全错误,在WordPress的情况下,归根结底,就是缺乏维护网站的经验。xf115兴发手机版因为它很容易使用,这并不意味着它很容易维护,especially from the security point of view.由于缺乏经验,人们:

  1. 使用弱用户名和密码.
  2. 失败使软件保持最新(be it WordPress core,插件,themes,the web server,或者他们自己电脑上的软件)。
  3. Install plugins and themes without doing any basic research关于他们,或者检查来源。

Keeping those three items in mind here are several tips that can help you improve your overall security posture.This is by no means an inclusive list.您可以采取更多的措施来进一步加强安全性。但是如果你从下面选一把,你将领先其他WordPress网站的90%。

1。Back-up Your xf115兴发手机版Website

最重要的是,你能做的最重要的事情就是定期备份你的网站。xf115兴发手机版如果你使用的是WordPress(或者其他平台)。问题不在于,但当你的网站被黑客攻击时。xf115兴发手机版当它发生时,你努力让事情恢复正常的第一个地方就是你的后援。

There are a variety of ways that you can backup your xf115兴发手机版website – some hosting companies provide automated backups of you could even use a plugin like Backup Buddy or a service like VaultPress.

2。选择一个可靠的WordPress主机

挑选固体,为你的WordPress网站提供可靠的主机托管公司可以在很大程度上缓解你对安全的担忧。xf115兴发手机版托管公司需要认真对待安全问题,但这并不是说你必须依赖一家管理型WordPress主机公司。There arelots of great hosting companies从各种价格点中挑选。

作为主动安全实践的一个例子,在尝试登录或访问托管帐户失败太多之后,一些托管公司将自动阻止IP地址。您还应该确保他们使用的是最新版本的mysql和php,对WordPress至关重要的两个组件。请毫不犹豫地向您的托管公司询问有关其安全状态的更多信息。

3.使用著名的主题和插件

选择声誉良好的主题和插件是减少潜在黑客可用的整个表面区域的一个重要步骤。许多顶级的WordPress插件或主题开发人员在发布前都会要求像Sucuri这样的公司进行第三方审计。

如果回顾一下我们讨论XSS漏洞的部分,it's clear that vulnerabilities can be present even in well-established themes or plugins.区别在于,知名或知名的主题公司或插件开发人员更有可能主动采取安全措施。

关于插件的话题,最好将插件总数限制在尽可能少的范围内。更多插件,by default,意味着你提供了一个更大的潜在攻击面。

4。使用强用户名和密码

wordpress的lastpass强密码

Not only is this one of the issues brought up by Robert from WP White Security,不言而喻,你需要尽可能困难地访问你的所有帐户。Use unique,很难猜出你所有账户的用户名和密码,not just your WordPress login.You should also implement two-factor authentication on any account that provides the option and using a plugin likeCLEF双因素认证用于你的WordPress网站

Consider for a second the damage that a hacker could inflict if they gained access to your domain registrar,托管帐户或CPanel。尽管存在这些风险,许多人坚持在多个帐户中使用相同的登录凭据。强密码的标志是你不记得的,但是服务就像最后一关or1Password是为你设计的。

以下是创建强密码的一些方便建议:

密码安全

4。限制对WordPress网站重要部分的访问xf115兴发手机版

Making it more difficult for a hacker to access specific parts or your WordPress installation,is a great deterrence.您还可以通过使用安全插件来实现其中的一些目标,which we'll cover next.如果您有兴趣手动完成此过程,请执行以下操作:

限制访问还包括使用适当的用户角色。This is especially important when you have more than one person working on your xf115兴发手机版website.例如,如果你有员工,作者,编辑或任何访问你的WordPress网站的人,xf115兴发手机版您应该为他们提供适合他们所做工作的登录凭证。Don't assign an administrator role unless a person actually requires admin functionality.

WordFence-Map

5。使用安全插件

许多用户发现依赖一站式安全解决方案更容易。If that sounds like you,一个可用的WordPress安全插件可能是合适的。Here are a some of the popular options:

Ithemes安全–提供免费版和高级版,iThemes提供了30多种不同的方法来提高网站的安全性。xf115兴发手机版

WordFence–是另一个同时提供免费和高级版本的安全插件。下载量刚刚超过1100万,WordFence has a strong user base who depend on this plugin for their security needs.

苏居里-苏居里坚持免费插件in the WordPress repository,他们还提供更全面的服务,包括:恶意软件和黑名单扫描,ddos保护,恶意软件清理,firewall protection and more.Sucuri服务的一个重要特性是,它包括在站点被破坏时进行清理。

这是其他的清单Malware scanning tools for WordPress.

6。监控你网站上的情况xf115兴发手机版

WP-White-Security-WordPress

密切关注你的网站所发生的事情,可以提供一些重要的线索,说明有些事情可能是不对的。xf115兴发手机版There are a few different places you should check on a regular basis.

  • 您的分析可以提供关于您的网站流量的关键信息。xf115兴发手机版任何突然的变化,尤其是突然下降可能表明有问题。
  • Perform a site search using site:http://yourdomain.com – Are there any sudden or negative changes in the number of pages indexed?你所有的元描述都合适吗?是吗?
  • 您的网站上其他登录用户最多有哪些?xf115兴发手机版授权与否?任何时候有人访问你的WordPress网站的后端,你都可以使用类似的插件xf115兴发手机版wp安全审核日志跟踪正在发生的事情。

网络扫描器是一个由网站安全专xf115兴发手机版家团队创建的新网站漏洞扫描程序。目前,它检查了超过98000个不同的漏洞。很容易设置,每周都会收到一份安全审计报告,这对GDPR compliance.

这里的重点是你应该保持警惕。您可以通过尽早发现安全漏洞来避免无法估量的损失。

如果你的网站被黑客入侵该怎么办?xf115兴发手机版

不幸的是,你的WordPress网站被黑客入侵,xf115兴发手机版you'll breathe a sigh of relief knowing that you have a recent backup on hand.但是对于一个典型的WordPress管理员来说,理想的操作过程是什么呢?是吗?

为了回答这个问题,我们又问了wp白色安全and he recommended 3 steps:

  1. 备份现有内容。This will come in handy to analyze what has happened.确保你没有覆盖上一个,你网站的不妥协版本。xf115兴发手机版
  2. 还原备份并更改所有密码。
  3. Analyze the backups,logs and everything else to see which vulnerability was exploited so you can close it down in the restored version of your xf115兴发手机版website.

他还补充说,尽管恶意软件有时很容易找到和删除,大多数时候你需要专业的帮助。

强化WordPress安全性的最后思考

WordPress security and more specifically the hardening of your xf115兴发手机版website is something you can choose to ignore at your own peril.作为世界上最受欢迎的CMS,WordPress是无数黑客的攻击目标。

即使你觉得你的网站或小企业太小,无法成为目标,xf115兴发手机版您需要记住,大部分攻击是自动化的,而不是专门针对您的网站。xf115兴发手机版If you are interested in digging into some hard numbers,帝国每年生产一次Web应用程序攻击报告其中包含一些令人恐惧的统计数据。

Despite what feels like doom and gloom,the best decision you can make is to be proactive with your WordPress security posture.太多的WordPress管理员做的太少,太晚了。即使没有一个WordPress网站可以100%安全xf115兴发手机版,你今天采取的任何加强你的安全的行动都可以立即得到回报。

强密码图像通过休闲网站

以下两个选项卡更改下面的内容。

兴发 游戏

我叫杰米·斯宾塞,在过兴发 游戏去的5年里我一直在写赚钱的博客。在厌倦了9-5之后,commuting and never seeing my family I decided that I wanted to make some changes and launched my first blog.从那时起,我已经推出了很多成功的小众博客,在卖了我的生存主义博客之后,我决定教别人如何做到这一点。

杰米的最新帖子兴发 游戏看到一切

6 thoughts on"WordPress Security: An Introduction to Hardening WordPress"他说:“这是一个很好的选择。”

  1. 很好的建议。好奇您对将WordFence或Ithemes等安全插件与更改权限或wconfig位置等手动调整结合在一起的想法——这两件事会互相干扰吗?我注意到了,例如,WordFence不喜欢与其他安全插件竞争,所以不确定它是否也不能很好地处理这些手动更改?是吗?

    • 我必须同意你的看法,斯蒂芬。我也必须对配置文件进行手动调整。它似乎工作正常,尽管我认为在提供完全兼容性的产品方面还有改进的余地。

  2. 非常有思想性和帮助性的文章。

    我不得不处理我的网站被黑客攻击的问题。xf115兴发手机版最糟糕的是,I had very little help from the"技术支持”我的主机提供商,以及三个多星期的周转时间来回答我的支持请求!你说什么?

    不管怎样,,

    我做了很多编码工作,设计,以及国内关于XAMPP的发展。这也是我开发一些健全和安全的.htaccess指令锁定我的网站的地方。xf115兴发手机版我必须强调,拥有一个非常好的,responsible web-hosting provider means all the difference.否则,even the best security you may put in place will probably not mean much in terms of positive results.The permissions attributes of files and folders is a very important consideration.Many good hosting companies will have forums and discussion boards that are loaded with great security-related advice.

    我注意到很多网站也在使用CloudFlare,xf115兴发手机版这似乎有助于抵御DoS和DDOS类型的攻击。我确实注意到我的网站经历了很多DDOS尝试xf115兴发手机版,以及其他方法探测”.所以,跟踪站点上的Web流量非常重要。在这里,您可能会得到关于您的网站正在发生的事情的早期警告。xf115兴发手机版

    关于插件的使用:

    You should only install and use as many plugins as you actually need!不是很多WordPress网站都需要它们!Good security plugins should be considered a MUST for any serious xf115兴发手机版website owner/admin.很遗憾WordPress没有内置的登录限制。Therefore,一个好的插件,以防止暴力类型攻击您的网站登录功能也是必须的。xf115兴发手机版

    我看到了另一个好主意,关于WordPress网站安全:xf115兴发手机版

    用wp扫描检查你的wordpress安装。这将提供一个基本的概念,说明您如何正确配置站点安全性,and how your (hopefully) up-to-date plugins and themes fare as far as security.It also helps if you incorporate (perhaps,进入你的自定义主题)函数.php“-文件,a few WordPress filters to remove the version-number-tagging that is embedded into the link-url markups in the displayed pages.–为什么全世界都需要知道你的网站使用的软件版本?xf115兴发手机版是吗?

    So yes,有很多好的网站安全技术可以使用,xf115兴发手机版because there is a LOT to xf115兴发手机版website security.

    – Great article,值得(实际上,应该)添加到每个人的重要书签列表中。

    -吉姆

    • 感谢Jim的冗长和非常有用的评论。Great idea regarding the WP security.我试试那个。
      万事如意

      兴发 游戏

  3. 嗨,乔,,

    确实是一个常见的WordPress安全错误列表。

    几天前,我遇到了这样一种情况:我的博客上显示了一些不需要的广告,而这是我没有安装的。When inspected I found that there was a lot of unwanted codes that were injected into the WordPress theme files and other main files.

    在进一步的检查中,我发现了以下3件事,这就是原因:

    1)。不更新其他WordPress安装,如果使用共享主机,则从同一主机帐户运行的插件和主题
    .
    2)。optimizepress 1.0已知存在安全问题,并且已发布了对其的更新。这不会在WordPress仪表板的正常更新中更新。您可能需要手动更新它,如果你还没做的话。

    3)。不定期清理和优化数据库

    4)。保留默认主题,如20年甚至20年。就这样,而不是更新它们。这主要发生在使用不同主题时,而这些默认主题只保留在那里。

    5).不卸载已经很长时间没有被创建者更新的插件。

    它们容易受到攻击。我发现的几个解决方案是安装类似WordFence的插件,Bullet Proof Security or,更好的WP安全性。

留下评论