• 主页
  • 文章
  • 主题
  • 您的 WordPress 网站安全吗? WordPress 网站容易受到攻击吗?

您的 WordPress 网站安全吗? WordPress 网站容易受到攻击吗?

已发表: 2017-03-09

两三年前,抢劫仅限于破门而入窃取他人的现金或贵重物品。 今天的恶作剧制造者和强盗会以黑客的形式出现。 任何为了个人利益或政治原因而发现和利用软件漏洞的人。

在我开始之前,您应该知道本文不会深入探讨 WP 安全的本质,而是讨论 WordPress 漏洞的原因。 如果这不是您要查找的内容,我建议您阅读 – “加强 WordPress 安全性 – 保护 WordPress 站点的完整指南”。 尽管如此,我必须指出,了解过去 WP 漏洞的性质,可以提供有关如何确保网站安全协议的深刻见解。

为什么人们会闯入网站和数据中心? 闯入保存客户信息、电子邮件 ID、信用卡号等的网站比抢劫银行更有利可图。 如果您经营一个相当成功的网站,我敢肯定已经进行了数百次甚至数千次访问您网站信息的尝试。

最近,AshleyMadison.com 遭到黑客攻击,3700 万用户的详细信息被盗。 黑客要求关闭该网站,否则他们将发布被盗用户的详细信息,包括性幻想。 这让您体验了黑客仅通过获取信息访问权限就可能造成的破坏。

网络安全是一个非常重要的话题,而且越来越多的网站弹出来收集其用户的个人信息,因此变得越来越重要。

多达 65% 的网络使用 WordPress 作为内容管理系统运行,所以今天我将讨论 WordPress 安全性以及过去 WP 网站是如何成为目标或被黑客攻击的。

为什么要投资于良好的安全实践?

  • 您欠您的客户和信任您敏感个人信息以确保其安全的客户。
  • 您的网站被黑客入侵 – 您会赔钱。
  • 您的网站被黑了 – 您的搜索引擎排名几乎是一次地狱之旅。

WordPress 网站被成千上万甚至数十万黑客入侵。 并非每个网站都报告他们过去曾被黑客入侵的事实。 正如您可能猜到的那样,这对他们的品牌来说并不是一个很好的认可。

我想说明这篇关于 WordPress 安全性的文章的必要性。

根据 Sandro Gucci(Enable Security 创始人)的一项研究。

  • 73.2% 最受欢迎的 WordPress 安装容易受到可以使用免费自动化工具检测到的漏洞的影响。
  • 只有 7,814 个网站(18.55%)升级到 WordPress 3.6.1,这是进行测试时 WP 的最新版本。
  • 13,034 个网站 (30.95%) 仍在运行易受攻击的 WordPress 版本 3.6。 WordPress 3.6 当时有 5 个已知漏洞。

如果您想知道,这只是暗网上某处未知的小型网站的一些不公平的概括特征,您就错了。 这些统计数据是根据对 Alexa 排名前一百万的网站上大约 42,000 个 WordPress 网站的研究得出的。 对于据称是网络上访问量最大的网站来说,这是大量易受攻击的网站。 这些网站收集了大量有关其访问者和订阅者的信息。

2013 年 9 月的统计数据是真实的,我认为从那时起它不会有太大偏差,即使它有,这里显示的统计数据显示了困扰 WordPress 的安全问题的规模。

如果您想要更多证据证明 WordPress 可能会受到损害。 我推荐你参考 Netcraft 的一项研究,

  • 2014 年 2 月,有 12,000 个 WordPress 博客用作钓鱼网站的平台。
  • Netcraft 为分发 Web 托管恶意软件而阻止的所有恶意软件 URL 中,超过 8% 是 WordPress 博客。

我应该指出,这些博客中没有一个是在 Automattic wordpress.com 上运行的。 这应该很清楚地说明,即使是 WordPress,如果不谨慎使用并且对 WP 安全有一些了解,也可能容易受到攻击。 另一个原因可能与 wordpress.com 上托管的所有博客几乎在 WordPress 更新发布后立即更新的事实有关。 应该注意的是,从那时起,WP 3.7 版中引入了自动 WordPress 更新,以保护网站免受零日攻击。

甚至在那之后,WordPress 仍然存在许多安全问题。 查看此平台不同版本中的 WordPress 漏洞列表。

现在没有什么可以阻止这种情况发生,新的漏洞几乎总是会被发现。 显然,核心 WP 团队非常重视安全性,并使 WordPress 更加安全。

但与其他所有流行软件一样,当更多人开始使用漏洞时,利用漏洞会变得更有利可图。

不相信我? 如果您相信 WordPress 会以某种方式突然摆脱所有漏洞,请查看此图表!

多年来的 wordpress 漏洞

虽然漏洞数量从 2007 年和 2014 年的高位开始下降,但由于 WordPress 越来越受欢迎,盈利能力不断提高,因此发现新漏洞和利用的动力永远在上升。

WordPress 开箱即用可能是安全的,但是在添加了如此多的插件/主题和自定义代码之后,漏洞的数量开始迅速增加。

话虽如此,我们可以对您的 WordPress 进行一些小的更改,以使其更加安全。 首先我们需要对WordPress安全有一个透彻的了解,这对于找出安全失败的原因非常有帮助。

您可能会惊讶地发现,在出现安全漏洞的情况下,WP 核心平台出现故障的情况很少见。 您添加到 WP 中的内容更有可能造成黑客可能利用的漏洞。

WordPress 网站如何被入侵?

确保完全安全的困难在于,没有这样的事情。

假设您的 WordPress 是完全安全的,您仍然需要担心 Apache、FTP 客户端、MySQL 以及在您的服务器上运行的任何软件。 您的网站的安全性取决于其最薄弱的环节。 这包括主机软件的质量、网站运行的主题和插件。

我希望我有更多最近的统计数据,我也可以向您指出,但这项研究作为 WpWhiteSecurity 博客上的信息图提供,提供了大量关于 WordPress 网站如何被黑客入侵以及是什么使它们易受攻击的见解。

该研究基于 2012 年被黑客入侵的 170,000 个网站的信息进行。黑客数量比上一年(2012 年)增加了 18%,有趣的是漏洞数量并没有增加相同的百分比。 但是,由于 WordPress 和基于 WordPress 的产品的使用增加,即使漏洞的小幅增加也会影响更多的网站。

  • 41% 的被黑 WordPress 是通过其托管平台上的安全漏洞被黑的。
  • 29% 是通过他们使用的 WordPress 主题中的安全问题被黑客入侵的。
  • 22% 是通过他们使用的 WordPress 插件中的安全问题被黑客入侵的。
  • 8% 被黑客入侵,因为他们的密码很弱。
  • 综上所述,我们可以得出结论,超过 51% 的被黑 WordPress 网站是通过他们使用的 WordPress 主题或插件中的漏洞而被黑的。

绝大多数黑客攻击是由于以插件、主题的形式安装软件,以及网络托管服务提供商未能充分加强服务器端的安全性。

在讨论托管、主题和插件的安全性方面有哪些好的选择之前,讨论保护网站的措施没有任何意义。 在我开始推荐具体的安全措施以加强 WP 安全之前,我肯定会讨论如何为您的网站找到好的第三方软件和安全托管。

结论

由于内容管理系统的核心代码中的错误,WordPress 网站很少容易受到攻击。 但是一个网站并不仅仅基于内容管理系统运行,它需要一个虚拟主机来托管网络上的 CMS、主题使其变得有趣,并需要插件来添加必要的功能。 现在向您的 WordPress 安装添加多层第三方软件开始使您的安全性有点漏洞,如果它做得不对。

您的 WordPress 核心、插件和主题以及网络主机需要进行通信以保持您的 WordPress 站点运行。 这种交互有时存在缺陷,它使网站容易受到攻击。

当然 8% 的网站可能会因密码弱而受到损害,但有大量证据表明,添加编写不当的插件/主题或运行在过时软件上的网络主机是所有 WordPress 网站中很大一部分的主要原因被黑或关闭。

现在我们已经明确了 WordPress 漏洞的原因,作为 WP 安全系列的下一篇文章的一部分,我将讨论您需要采取哪些步骤来加强 WordPress 安全性。

如果您的 WordPress 网站曾被黑客入侵或成为 DDOS 攻击的受害者,请务必分享详细信息。 如果在我们的能力范围内,无论是艾加斯还是我都会尝试解决这个问题。 干杯