选择 WodPress 托管服务提供商时应考虑哪些安全因素？

由于 WordPress 全面普及，影响不同 WordPress 网站托管公司的安全事件也越来越多。

GoDaddy 是最近的例子，因为他们最近在其 WordPress 托管环境中出现了安全漏洞。 上周宣布未经授权的第三方访问其托管 WordPress 托管环境，影响了多达 120 万活跃和非活跃客户的数据。

GoDaddy 上的 WordPress 安全漏洞

首席信息安全官 (CISO) Demetrius Comes 于 11 月 22 日在向美国证券交易委员会 (SEC) 提交的文件中宣布，他们于 11 月 17 日发现未经授权访问 GoDaddy 的托管 WordPress 服务器。 他们确定该事件已于 2021 年 9 月 6 日开始，并暴露了 120 万活跃和非活跃 WordPress 托管客户的数据。 他们在托管 WordPress 托管环境中发现了可疑活动，并在 IT 取证公司的帮助下立即开始调查并联系了法律当局。 泄露的密码允许攻击者访问他们的系统。

公告指出：

• 多达 120 万活跃和不活跃的 WordPress 托管客户的电子邮件地址和客户编号被暴露。 电子邮件地址的暴露会带来网络钓鱼攻击的风险。
• 配置时设置的原始 WordPress 管理员密码已暴露。 如果这些凭据仍在使用中，他们会重置这些密码。
• 对于活跃客户，sFTP 和数据库用户名和密码被暴露。 他们重置了两个密码。
• 对于一部分活跃客户，SSL 私钥已暴露。 他们正在为这些客户颁发和安装新证书。

最后，Comes 补充说：“我们对这一事件及其对我们客户的担忧深表歉意。 作为 GoDaddy 的领导层和员工，我们非常认真地履行保护客户数据的责任，绝不希望让他们失望。 我们将从这次事件中吸取教训，并已经采取措施通过额外的保护层来加强我们的供应系统。”

可以想象，互联网上有很多批评 GoDaddy 的消息，不仅是因为花了 5 天时间来报告违规行为，而且还因为花了 2 个多月的时间才检测到上述攻击，因为它可能发生在 9 月 6 日。 如果您是受影响的客户，您还将找到有关在技术和法律上应采取哪些行动的更多信息。 我什至不想考虑这对 GoDaddy 和所有可能受到影响的客户来说是多么糟糕！

选择托管公司时安全的重要性

当我们谈论选择 WordPress 托管的关键要求时，我们会考虑一整套因素：与不同版本的 PHP 的兼容性，它提供哪些功能和工具来轻松管理 WordPress 安装，我们页面的快速加载速度，高效的支持服务，当然还有合理的费用。

但我们不要自欺欺人：我们经常将安全方面置于我们优先事项的底部。 为什么？ 首先，因为我们的托管服务提供商的安全性是我们认为理所当然的事情。 但这是荒谬的，因为如果我们确定一件事，那就是没有计算机系统是 100% 安全的。 其次，安全性难以快速轻松地评估。 只有当安全漏洞发生时，我们才会意识到可能存在的漏洞。

您网站的安全性有点像您的健康。 如果你身体好，你就不会考虑太多。 但是，当你身体不适的那一天，世界就会向你倾倒。 通常，生病是不可避免的，但预防和早期发现可以为您节省很多悲伤。 安全性也是如此。 如果您的网站被黑客入侵，您的业务不仅会倒闭，而且您还可能因未采取适当的安全措施而陷入法律纠纷。

如果我们想尝试防止安全漏洞，我们应该从托管服务提供商那里得到什么？

软件安全

让我们所有人感到厌烦的是必须更新我们在计算机上使用的软件。 但我们这样做非常重要，因为大多数更新正是为了保护它免受已知漏洞的影响！

因此，当您通过托管公司托管 WordPress 网站时，请确保它符合 WordPress 推荐的兼容性要求和最新的软件更新。 查看官方 WordPress 网站了解它们。 在撰写本文时，建议的要求是：

• PHP 7.4 或更新版本。
• MySQL 5.6 或更新版本，或者 MariaDB 10.1 或更新版本。
• HTTPS

我的建议：甚至不要考虑任何不符合这些要求的托管公司。

SSL 可用性和支持

超文本传输​​协议（超文本传输​​协议或HTTP ）是一种用于网络系统的协议，旨在定义和标准化组成网络的不同计算机之间发生的事务的语法和语义. 换句话说，它描述了 Web 服务器与 Web 浏览器（例如 Google Chrome 或 Mozilla Firefox）通信的方式。

HTTPS 是指在安全套接字层 (SSL) 上使用 HTTP 或与传输层安全性 (TLS) 的连接，它负责加密所有 HTTP 消息，以便它们的传输是安全的。 当用户向 Web 服务器提交信息时，SSL 本质上提供了一整套保护层：

• 加密：如果攻击者设法截获该信息，它将毫无用处，因为他们不知道如何解密它（但你会）。
• 数据完整性：攻击者将无法“修改”所发送消息的内容。
• 身份验证：避免网络钓鱼或中间人攻击，在这种攻击中，用户在认为自己正在与其他人交谈时向第三方提供信息。

通过这种方式，例如，您可以确保在您的网站上进行的购买数据不会被犯罪分子读取和/或修改。

如果您的网站使用 SSL，大多数浏览器会显示以https://开头的网址，并在地址栏附近或附近的某处显示一个挂锁图标，为访问者提供有关当前网站安全性的视觉线索。

在寻找托管服务提供商时，请确保它支持 SSL，并检查设置它是否容易。

备份还原

如果您的 WordPress 遭受恶意软件攻击，您很可能最终需要恢复没有受感染代码的旧备份。 因此，请确保您的托管服务提供商定期自动备份您的 WordPress 网站。

确保您知道：

• 备份频率，
• 您可以访问多少个站点备份，
• 无论您可以轻松地自行恢复所有这些，还是必须请求恢复并支付服务费用，
• 您是否可以执行文件、文件夹、电子邮件帐户或数据库的部分恢复，
• 您是否可以访问还原历史记录。

防御 DDoS 攻击

分布式拒绝服务 (DDoS) 攻击是一种尝试通过触发“大量”请求来关闭 Web 服务器的攻击，直到服务器过载和崩溃。

为了防止它们，一些托管服务提供商（例如 SiteGround 和 Bluehost）与 Cloudflare 等内容交付网络 (CDN) 合作。 CDN 运营全球服务器网络，可以更轻松地更快地提供数据并吸收 DDoS 等资源密集型攻击。 这有助于托管公司减少自己服务器上的负载，而无需大量投资于额外的基础设施。 强烈建议您检查您的托管公司是否使用 CDN。

还要确保他们为此类攻击准备了协议，例如：

• 过滤洪水流量的防火墙硬件，
• 基于iptables的防火墙软件，功能复杂，流量监控，
• 它们限制了可以远程建立的连接数量，
• 他们检查来自主机的大量失败的连接尝试并执行过滤。

恶意软件扫描

正如我们在 GoDaddy 的案例中所看到的，恶意软件是可以影响服务器的恶意软件。 它们可能会导致轻微感染，例如某些数据被盗，或清除整个数据库。

了解您的托管服务提供商如何控制和检查此类攻击非常重要。 他们多久执行一次扫描？ 他们是否有帐户隔离系统，以便在感染时将其控制住？

可用性和正常运行时间

信息安全的三大支柱被称为 CIA 三元组（机密性、完整性和可用性）。 您网站的可用性和正常运行时间（网站处于活动状态和可用时间的百分比）对任何网站都至关重要。

托管公司有很多方法来确保这种可用性。 例如，有些采用 RAID 技术、硬件冗余、网络冗余，甚至替代镜像位置。 确保您的托管服务提供商在其条款和条件的服务水平协议 (SLA) 中保证您的最低可用性。 例如，在 Siteground 的情况下，他们保证：

5.2. 我们保证每年 99.9% 的网络正常运行时间。 如果我们低于保证的网络正常运行时间，我们将按以下方式补偿您；

• 99.9% – 99.00% 正常运行时间：1 个月免费托管
• 每损失 1% 的正常运行时间低于 99.00%，可额外获得一个月的免费托管。

SLA 是您的托管服务提供商对基础设施的投资以及他们为保证服务所做的承诺的另一个指标。

结论

正如我已经提到的，安全就像健康。 尽管您永远无法保证绝对控制它，但您承担的风险越少越好。 保护您的站点并注意其安全性可以防止出现重大的不良后果。 这种保护始于为您的 WordPress 网站选择一个好的托管服务提供商。

Unsplash 上 Liam Tucker 的特色图片。