使 WP 网站容易受到网络攻击的常见错误

已发表: 2020-03-22

恭喜! 您已将 WordPress 网站放在一起,看起来很棒,并且您已准备好启动。 但是,您必须做的最重要的事情之一是确保您的网站完全不受网络犯罪分子的攻击。 继续阅读以了解有关使 WP 网站易受网络攻击的错误的更多信息。

如果您像大多数网站所有者一样,那么您已经在设计和内容上投入了很多心思。 但是,您对安全性给予了多少考虑?

我们大多数人都意识到需要更严格的网络安全,但我们中的太多人忽视了常见错误,这些错误使我们的流量和网站本身面临攻击风险。

目录

可能会让您大吃一惊的 WordPress 安全统计数据

WordPress 是迄今为止最受欢迎的 CRM 和网站构建器,为互联网上超过三分之一的活跃网站提供支持,包括白宫网站、纽约时报和其他知名网站。

不幸的是,这也使它成为黑客和网络蠕虫的更大目标。

最大的漏洞源于您选择的托管服务类型 ( 46% ) 和用于添加功能的插件 ( 52% )。 目前WP 目录中有超过 55,000 个插件,但其中只有不到 3% 的插件由其开发人员更新。 超过一半没有用户评论。

另一个值得关注的领域是这些网站是如何受到攻击的。

在互联网上的所有恶意攻击中, 86%是由于跨站点脚本 (XXS) 攻击,其中 39% 是针对 WP 驱动的站点。 使用过时的 WP 版本是41%的攻击的根源。 过时或不受支持的主题是11% 的网络攻击的原因

让我们深入探讨作为 WordPress 网站所有者将面临的主要威胁以及如何避免它们。

5 个常见的 WordPress 安全漏洞

尽管可能存在数千种风险,但许多风险都是同一主题的变体。 例如,社会工程攻击非常常见,但鱼叉式网络钓鱼网络钓鱼等工程攻击的目标和方法不同。 一种是针对特定人员或公司的,另一种是更广泛的一般性攻击。

这些是没有经验的网站所有者为降低其网站的安全性所做的主要事情。

不保护登录页面

最常见的攻击是直接从您的前门进入的蛮力攻击。 您可能认为您受密码保护,但您在登录时忽略了其他漏洞。

首先,摆脱默认用户名“admin”,并将其替换为您容易记住但其他人难以猜测的名称。

接下来,使用密码生成器创建超安全密码,并至少每月更改一次。 您还可以使用双重身份验证进行登录,并将登录界面配置为在两次尝试失败后锁定。

角色分配不当

除非您是一个独立的专业人士或有大量时间的博主,否则很有可能其他人可以访问您的网站。 开发人员还必须向其客户授予权限以授权更改或更新内容。

请注意您分配特定角色的人员以及您授予的访问权限。 例如,编辑不需要访问您的编码或大多数数据库,但管理员会。 可以通过仪表板自定义每种用户类型的角色和访问级别。 只需单击侧边栏菜单中的“用户”,它就会将您带到正确的位置。

使用不受支持或过时的主题和插件

我们所有人都尝试过不同的主题或插件来查看它们的外观和功能,但当我们决定它们不适用于我们的网站时才将它们丢弃。 如果您不再使用主题或插件,请将其删除,而不是简单地禁用。 旧的或未使用的主题和插件是黑客在您不注意时闯入的一种非常常见的方式。

WordPress 非常适合让您知道某些软件或应用程序是否有可用更新,因此每天登录只是为了检查您的仪表板。 从您的 IP 地址和任何页眉或页脚中删除版本号。 黑客跟踪已知的漏洞,他们会寻找过时的版本来利用。

未能使用适当的安全功能

最基本的,您的安全应该包括防病毒软件和 SSL 身份验证。 但是,安全功能不应该就此结束。 一些最好的 WP 插件提供针对垃圾邮件 (Akismet) 和恶意软件的额外保护。 您还可以使用Succuri Site Check等服务来评估您的网站是否存在恶意应用程序、活动和代码。

试图省钱

没有人喜欢不必要地花钱。 然而,“一分钱一分货”的说法变得普遍是有原因的。 几乎每家公司都面临启动和增长资金的问题,但要注意如何以及在何处进行储蓄。

网络安全不容小觑。

* 从提供支持和其他客户服务特权的知名开发商那里选择值得信赖的主题和插件。

* 选择提供额外安全性和保证正常运行时间的预算友好型提供商,而不是免费托管服务。 周围有很多。 这不仅可以降低外部攻击的风险,还可以提高您的正常运行时间和速度。

保护自己和访客

除了选择服务提供商和可能安装防病毒保护之外,普通人几乎不会对他们的互联网使用做出决定那些比较担心的人也可能会安装一个虚拟专用网络 (VPN)来保护他们的身份并屏蔽冲浪活动。

他们依靠开发人员、设计师和网站所有者来保护他们的信息和设计时考虑到安全性。

在构建或升级的每一步都牢记网站安全最佳实践,您可以不辜负他们的期望。

确保您使用的是来自受信任的开发人员安全代码和插件。 更新可用时立即安装。 如果可能,请选择提供托管 WP 托管的托管服务。 他们最终会负责安全性,许多还包括免费的 SSL 身份验证来保护您的域。 如果您能够自动安装更新,请使用它。

当您的托管服务提供备份时,请使用它们。 您还应该询问恢复政策、程序以及在发生崩溃或违规时对您的数据的访问。 为了安全起见,您应该有自己的备份和站点恢复程序。

最后的想法

从您选择的托管服务到您选择的主题,一切都会影响网站安全性 遵循上述建议将降低您遭受网络攻击的风险,同时为您的访问者提供相对轻松、愉快的体验。 这就是最终的全部内容。

您最近评估过您的网站安全性吗?