WordPress 安全性:如何识别和消除威胁

已发表: 2018-05-11

诸如“我们规模太小,无法受到攻击”或“我们不处理财务报告等敏感数据”之类的借口不再适用。 一再证明,所有网站,无论其大小,都容易受到攻击,并可能落入黑客的陷阱。

如果您以专业的方式访问您的网站,则应注意 WordPress 的最佳安全实践。 我们将分享一份详尽的提示列表,以保护您的 WordPress 网站免受黑客和恶意软件的侵害。

作为网站所有者,您有能力提高 WordPress 的安全性,即使您不知道如何编码并且不想陷入复杂的迷宫。

我们准备了分步说明并创建了导航,以便您在浏览材料时不会遇到困难。 您可以快速找到正确的文本片段,并且在阅读完您的网站后,您的网站将比网络上的大多数资源更加安全。

为什么安全很重要?

被黑的 WordPress 网站可能会严重损害您的业务和声誉。 黑客可以窃取用户信息、密码、安装恶意软件并在您的用户之间传播特洛伊木马。

2017 年,谷歌报告称,超过 5500 万用户被警告访问带有恶意软件的网站。 每周,谷歌都会列出超过 20,000 个恶意程序。

如果您的网站是您的企业,则必须更加注意其安全性。 只有您负责保护您的资源免受入侵者的侵害。 正如 WordPress 安全法典中所述:“从根本上说,安全性与完全安全的系统无关。 这样的事情很可能是不切实际的,或者不可能找到和/或维护。 然而,安全是降低风险,而不是消除风险。 这是关于在合理的范围内使用所有可用的适当控制措施,通过降低使自己成为目标并随后被黑客入侵的可能性,从而改善整体姿势。”

花点时间了解以下最佳实践,并查看一些经过行业验证的 WordPress 安全策略,例如使用最新的 WordPress 软件、强大的凭据策略和以安全为中心的系统管理。

漏洞类型

WordPress 中的常见漏洞是主题的低安全性、服务器、数据库、文件权限、FTP 和特定文件组件(如 wp-admin、wp-config 和 wp-includes)的漏洞。 他们最容易受到攻击。

许多黑客事件表明,入侵者很容易在 WordPress 安全服务中使用不受保护的链接来获得优势。 一个漏洞可能会使您的网站遭受数以千计的攻击。 例如,在 2 月初,网络犯罪分子发起了一场大规模的活动,受感染的 WordPress 网站将访问者重定向到具有一系列漏洞的域

Exploit是一段代码,它可以利用 WordPress 网站中的漏洞并允许黑客入侵系统。 换句话说,它是在您的网站上寻找不受保护的元素并对其进行攻击的软件。

漏洞利用是由于没有适当注意资源安全性的程序员的错误而形成的。 当发现漏洞时,您需要制作一个补丁来消除此漏洞。

在另一系列攻击中,黑客利用了 XML-RPC 文件中的漏洞。

XML-RPC是一种远程过程调用 (RPC) 协议,它使用 XML 对其调用进行编码,并使用 HTTP 将请求或订单远程发送到网站。 如果您不想给黑客额外的机会来破解您的资源,您可以简单地删除它。 当有需要时,您可以恢复它。

当黑客向网站发送特殊 SQL 请求时, SQL 注入是绕过防火墙攻击数据库的最常见方法。 这些代码注入可以创建新的管理员帐户,这些帐户可以从您的资源链接到恶意或诈骗网站。

如何防止 SQL 注入?

错误消息主要用于检索有关网站的敏感信息。 所以要么应该禁用它们,要么必须创建自定义错误消息。 来自 WordPress 开发服务的网络安全专家表示,应该对所有机密信息和密码使用 SHA1 或 SHA 加密。 限制授予权限的数量将减少此类恶意攻击的可能性。

蛮力攻击

蛮力攻击包括尝试通过试错法获得正确的登录名和密码组合。 这是黑客尝试访问登录的最简单方法。 这种攻击可以通过多种方式执行,每种方法都反复尝试猜测登录名和密码的组合。 这是机器人常用的策略,因为对登录 WordPress 的尝试次数没有限制。 如果攻击成功,您的网站和业务的敏感信息可能会受到威胁。 即使它失败了,您的系统仍然可能超载。

如何应对暴力攻击?

最好的方法是激活消除无限登录尝试的锁定策略。 当帐户被锁定一段时间时,也可以使用渐进式延迟。 Captcha 等工具会有所帮助,尽管这会影响网站的可用性。 创建复杂的密码来对抗这些类型的攻击也很有帮助。

跨站脚本

WordPress 中几乎 84% 的安全漏洞是跨站点脚本或 XSS 攻击。 这种类型的漏洞最常见于 WordPress 插件。 在这里,入侵者使用 Web 应用程序将恶意脚本和代码发送到安全可靠的站点,其中很可能是您的站点。 结果,恶意 JavaScript 文件被下载到网页并用于窃取机密信息。

如何防止跨站脚本?

有几种方法可以防止 XSS 攻击:

  1. 不要让不可靠的数据访问您的 HTML 文档。
  2. 使用 Sanitization API WordPress 和 Escaping API WordPress(代码清理功能来保护机密信息而不是公开显示它——例如,在浏览器链接地址行中)。
  3. 在将不可靠的数据输入 URL 请求字符串之前,请确保在 URL 中对其进行了编码。
  4. 在将不可靠的数据放入 HTML 页面之前,请确保通过替换代码语法以 HTML 对其进行编码。

Web 服务器和操作系统攻击

Web 服务器和操作系统上也存在某些安全漏洞。 当 OpenSSL 中记录错误时,就会产生此类安全威胁,这使得黑客可以访问数据库和机密信息。 这个严重的漏洞影响了几乎三分之二的网站。

如何防止对 Web 服务器的攻击?

  1. 对 OpenSSL 软件执行定期安全检查。
  2. 执行服务器端验证。
  3. 不要相信来自外部的输入。
  4. 更新 IPS 和防火墙签名并启用 Heartbleed 签名。
  5. 取消现有的 SSL 证书并创建新的。
  6. 不要使用旧密钥创建新证书。

恶意程序旨在破坏和破坏系统或访问数据库。 此类软件是一种可执行代码和脚本的形式,可在未经用户同意的情况下侵入系统。

每当您的 WordPress 网站被黑客入侵时,请查看最近修改的文件。 最常见的恶意软件感染包括后门​​、可下载磁盘和恶意重定向。

如何应对恶意攻击?

  1. 手动删除恶意文件。
  2. 从备份中恢复 WordPress 站点。
  3. 始终更新 WordPress 和插件。
  4. 删除“管理员”帐户并使用不同的唯一用户名。

检测黑客行为

极难检测的黑客攻击尝试的百分比很低,但总的来说,无论成功与否,您都可以识别任何尝试。

漏洞检测指标:

  • 突然的、不可预见的流量激增,尤其是来自国外的流量(通常不是来自您所在的地区,那里找到目标受众的可能性极低);
  • 您的域会自动重定向到第三方网站(通常是垃圾邮件);
  • 您的首页和内页突然发生变化或内容消失;
  • 传出带宽的爆发可能表明您的服务器已被捕获并用于 DDoS 攻击;
  • 直接和自然流量下降是因为 Google、Yandex、Bing 和浏览器(Firefox 和 Chrome)等搜索引擎警告用户访问您的网站的危险。

如果您注意到您网站上列出的活动之一,请在此处快速对您的 WordPress 网站进行安全诊断 只需在地址栏中将 www.example.com 替换为您网站的域即可。 该服务的替代方法是借助免费的URLVoid 工具检查网站的声誉

消除安全漏洞

仔细、客观地监控您的资源是否存在黑客攻击。 如果出现安全问题,您应该开始消除违规行为。

如果您确定您的网站已成为网络犯罪分子的目标,则将其告知访问者是正确的。 组织将电子邮件自动分发给您的用户,因为他们很容易受到黑客攻击。 通知他们您的网站可能是安全漏洞的受害者,最好暂停访问您的网站一段时间。 指定解决问题的日期。

如果攻击已经蔓延,关闭站点并在离线模式下工作是有意义的,直到您找到并解决问题。 工作期间,建议放置“现场重建”页面。 它会让用户清楚地知道问题是暂时的,不会永远吓跑他们。

联系您的虚拟主机

网络托管公司每天与数千个网站合作,并面临互联网上的各种安全问题。 一旦您得知您的网站存在安全风险,请联系托管公司并解释您的问题。

大多数网络托管公司都有 IT、安全专家。 它们可以帮助识别和纠正恶意攻击。 即使您的托管公司不提供帮助,其专家也可以联系遇到类似问题的其他网站所有者。 它将帮助您了解应该如何解决问题。

优秀的托管服务提供商会采取额外措施来保护他们的服务器免受常见威胁。 但是在共享主机上,您与其他网站所有者共享资源。 当黑客可以使用相邻网站攻击您的网站时,它会增加跨站点脚本攻击的风险。

使用 WordPress 托管可以更安全地运行您的网站,因为它具有自动备份、更新和更复杂的安全配置等附加功能来保护您的资源。

从网络安全专家那里获得帮助

通常,最易受攻击的网站文件是媒体文件、.php 文件以及存储在不安全位置的文件。 黑客将恶意代码注入这些文件并使用后门攻击破坏您的网站。 由于这些是典型的风险区域,您首先需要对其进行检查,然后前往现场的其他区域开始清洁过程。

从受感染的文件中清除恶意代码需要您从服务器下载它们,删除受影响的代码,然后将干净的文件重新上传到服务器。

有时仅仅清理受感染的文件是不够的。 也许黑客可以访问您的文件,他们会继续对其进行更改并删除代码片段。 正确的做法是将受感染文件的清理版本与 Web 开发人员的源文件进行比较,以查看是否丢失了关键代码片段。

请记住,黑客通常会安装后端 shell,即使在删除所有受感染的文件后,他们也可以入侵您的网站。 这些 shell 通常伪装成常规文件。 如果您的网站遭到入侵,当您返回备份时,请将工作外包给安全服务,以确保您的网站完全安全并且可以进一步运行。

更改密码

清理受感染的文件只是消除漏洞任务的一部分。 您需要确保黑客不会再次访问您的数据。 最简单但有效的方法是更改​​密码。 您的所有密码来自:

  • 电子邮件;
  • FTP账号;
  • 托管帐户;
  • WordPress 管理面板。

您必须确保您的新密码是可靠的,并且不能使用暴力破解方法破解。 请记住,窃取密码是入侵 WordPress 网站的最常见类型。 因此,我们建议您创建以前从未使用过的更复杂的密码。

新手不喜欢使用强密码的主要原因是它们很难记住。 现在有一个解决这个问题的方法——只需使用密码管理器。

降低风险的一种有效方法是让多个角色访问您的 WordPress 帐户。 如果您有来宾作者,请确保在将新用户添加到您的网站之前了解每个人的角色和能力。

如何保护您的 WordPress 网站

通常,维护网站安全被视为一项复杂的工作,并且需要一支高薪专业人员。 就 WordPress 而言,事情并没有那么可怕。 我们将向您展示如何在没有深入的技术知识的情况下保护您的 WordPress 网站。 您不必知道如何编码、执行复杂的操作、倒立或执行秘密的巫术仪式。

让我们开始吧!

步骤 1. 设置备份选项

备份是您抵御任何 WordPress 攻击的盾牌。 请记住,没有任何网站可以 100% 安全。 甚至政府网站也时不时遭到黑客攻击。 因此,您的资源也可能成为目标。

备份旨在快速恢复易受攻击的网站。 因此,我们建议为此使用现成的 WordPress 插件。 其中有很多:有付费和免费选项。

这里最重要的是需要定期进行备份。 有一条重要规则——它们需要在第三方存储服务上创建(例如,在 Dropbox 云、亚马逊中),而不是在您的托管帐户中。

您更新网站的频率越高,就越需要对其进行备份。 如果您每天更新博客,我们建议您每天至少备份一次。

怎么做?

下载VaultPressBackupBuddy等插件 它们可靠,最重要的是,易于使用、易于设置并完美应对其主要备份功能。

使用 WordPress 安全插件和服务

无论规模如何,任何网站都必须拥有基本的安全基础设施。 例如,用于 WordPress 用户的简单工具Login Lockdown可用于防止使用蛮力登录尝试的原始攻击。

因此,如果您还没有保护站点的防火墙或安全系统,请立即激活它们。 由于我们的目标是防止攻击而不是在损坏完成后恢复,因此我们建议使用 Web 应用程序防火墙 (WAF) 作为解决方案。

防火墙是一种现成的软件解决方案,可增加额外的保护级别并控制进入您网站的所有流量,阻止各种恶意威胁。

它对抗最常见和最激进的威胁,包括开放 Web 应用程序安全项目、SQL 注入、跨站点脚本和无效重定向。 防火墙或防火墙通常内置在现代操作系统中或包含在付费防病毒系统中。

Web 应用程序防火墙 (WAF) 是保护站点并确保其安全性的最简单方法。 它会在所有恶意流量超过您的资源之前阻止它。

优秀的托管服务提供商使用带有开源的 mod_security Apache 服务器模块提供内置 WAF 保护,但我们知道仅阻止最新检测到的威胁是不够的。 该模块很少由没有足够资源来跟踪快速发展的威胁形势的虚拟主机更新。

因此,用户应该使用云安全提供商提供的防火墙将任务掌握在自己手中。 这种基于云的 WAF 是即插即用的解决方案,可控制所有传入流量并自主处理整个威胁检测和清除过程,以快速响应新的和现有的威胁。

此外,此类云服务通常附带 CDN 内容交付网络、DDoS 故障转移服务,甚至负载平衡解决方案,以提高性能、安全性和可用性。

作为 WordPress Web 应用程序的最佳防火墙,我们推荐Sucuri Sucuri 防火墙的优势在于它具有删除恶意软件的保证。 开发人员保证他们会修复您的网站(无论您拥有多少页面)。 通常,安全专家估计他们的工作每小时 250 美元,而您可以通过 Sucuri 获得全方位的安全性,每年只需 199 美元。

Sucuri 不是唯一的防火墙供应商。 他的著名竞争对手已经紧随其后的是Cloudflare

Sucuri 和 Cloudflare 有什么区别?

两种服务都提供不同的计划,这些计划具有不同的功能集。

Cloudflare 功能

Cloudflare 因免费的 CDN 服务而闻名。 它专门用于防止 DDoS 攻击。 Cloudflare 在攻击期间或在您的服务器停止响应时让用户可以访问您的网站。

防火墙还涵盖表单并保护您的网站免受垃圾邮件评论和垃圾邮件注册。 Cloudflare 还在其所有付费计划中提供免费 SSL 证书。 免费计划允许您仅使用 Cloudflare 证书。 要获得自定义证书,您必须升级到商业或公司计划。

尽管 Cloudflare 有提供免费 CDN 的免费版本,但大多数其他功能,包括 Web 应用程序防火墙,都需要转换为付费计划。

Cloudflare 不提供扫描服务器以检测恶意软件的服务。 它也不提供删除恶意软件的保证。

苏库里特点

Sucuri 是用于监控网站的最可靠的安全服务之一。 它提供全面的恶意软件监控和扫描、DDoS 防护以及恶意软件删除。

Sucuri 提供 CloudProxy、网站防火墙和负载平衡服务。 它可以阻止可疑流量、受感染的代码、机器人程序和其他威胁。 Sucuri 会定期扫描您的网站。

选择什么?

Sucuri 显然具有更多优势,因为它提供了工具和服务的最佳组合(防火墙站点 + 负载平衡 + 恶意软件清理/黑客恢复)。

价钱

Cloudflare为所有人提供免费的 CDN 服务。 他们不收取带宽费用,也就是说,无论流量大小,您都可以使用他们的免费 CDN。

但是,免费计划不附带用于 Web 应用程序的防火墙。 您的网站可以使用 CDN,但它不会受到 DDoS 攻击、垃圾邮件等的适当保护。

要使用防火墙,您需要每月花费 20 美元的 Pro 计划,但该计划不包括高级减少 DDoS 攻击和自定义 SSL。 要获得这些功能,您需要购买每月 200 美元的商业计划。

Sucuri不提供免费计划。 他们的安全计划起价为每年 199 美元,事实证明这比 CloudFlare 的 Pro 计划更实惠。 此基本计划包括完整的站点监控、Web 应用程序防火墙、DDoS 保护、恶意软件清除和免费 SSL 证书。

Sucuri 没有从较低级别的计划中排除重要功能,而是使用时间优先作为其更昂贵计划的激励。 例如,在基本定价计划中删除恶意软件的时间为 12 小时,专业计划为 6 小时,商业计划为 4 小时。 同时,实际的清洁时间比计划中的要快。

Sucuri 为所有计划提供全天候支持。 他们的商业计划订阅者也可以使用聊天支持。

选择什么?

在价格方面,Sucuri 是小型企业的明显选择。 Cloudflare Pro 每年收费 240 美元,而 Sucuri 每年收费 199 美元,具有广泛的功能。 要获得相同的功能,您需要以每年 2,400 美元的价格购买 Cloudflare 计划。 最昂贵的 Sucuri 计划是每年 499 美元。

删除恶意软件

恶意软件和受感染的代码是网站所有者面临的最常见威胁。

Sucuri 和 Cloudflare 如何保护网站免受这些常见威胁?

Cloudflare 的免费版本通常可以作为内容交付网络,让您的网站更快地下载。

网站的防火墙安全(在付费版本中提供)包括保护网站免受恶意代码、XSS JavaScript 和表单中的攻击。 它不提供文件更改检测、恶意软件扫描、黑名单监控和其他安全功能。 您可以添加第三方应用程序来扫描恶意软件,但这些服务会花费您额外的费用。

Sucuri 专注于监控站点并保护它们免受恶意软件和其他攻击。 Sucuri 防火墙保护您免受 DDoS、SQL 注入、XSS JavaScript 注入、评论和垃圾邮件联系表格的侵害。

但是,如果攻击者也打破了这些障碍,Sucuri 将提供清理您的网站(免费)。 如果您现在有一个受恶意软件影响的网站,Sucuri 也可以清理它。

选择什么?

要利用具有监控、反恶意软件保护和清理服务的 Web 应用程序防火墙,Sucuri 最适合。 但是,在内容交付领域,最好使用 Cloudflare。

第 2 步。如果您还没有这样做,请转移到 HTTPS

谷歌官方宣布的最新排名因素之一是切换到 HTTPS 的要求。 这种对网站安全性的强调表明,谷歌对不可靠或被黑客攻击的网站在搜索引擎排名中被降级这一事实是认真的。 根据谷歌自己的说法,这是一种让互联网更加安全的尝试。

HTTPS是一种用于保护用户与网站之间数据交换机密性的协议。 与旧的 HTTP 协议相比,它确保了在站点和服务器之间传输重要信息的安全性。

HTTPS 以前被广泛用于电子商务网站上的金融交易,以保护邮箱。 换句话说,它适用于任何需要安全性和可靠性的交易。

通过将您的网站转移到 HTTPS 协议,您不仅会使其更安全; 您还将增加在 Google 和 Bing 主题查询的搜索结果中获得高位的机会。

第 3 步:安装 WordPress 安全插件

建立一个审计和监控系统来跟踪您网站上发生的每一项活动非常重要。

您需要一个安全插件来:

  • 监控文件的完整性;
  • 跟踪不成功的登录尝试;
  • 扫描网站以查找恶意软件;
  • 消除任何威胁;
  • 保护您的网站免受威胁;
  • 在对抗各种漏洞方面拥有万能助手;

免费插件 Sucuri Scanner 可以处理这些任务。

如何配置 Sucuri 扫描仪?

  1. 创建免费的 API 密钥。 它将有助于保存跟踪记录、检查网站的完整性、在威胁发生时通过电子邮件通知。
  2. 转到 WordPress 仪表板上 Sucuri 菜单中的强化选项卡。 标记每个选项,然后单击“加强”按钮。

这些设置有助于阻止黑客经常用于攻击的风险区域。

  1. 通过电子邮件配置威胁警报。 为确保您的电子邮件不会弄乱您的邮件,我们建议您设置仅接收有关关键操作的电子邮件,例如注册新用户、插件更改。

Wordfence Security是最著名的安全插件之一,拥有超过 200 万个活动安装和内置防火墙。 它从各个方面为网站提供全面保护:

  • 通用站点保护;
  • 防范新威胁;
  • 防止暴力攻击;
  • 检测恶意流量;
  • 在入侵者到达现场之前阻止他们;
  • 防止机器人程序;
  • 阻止恶意网络;
  • 保护输入免受暴力密码、DDoS 攻击;
  • 扫描站点以进行威胁检测;
  • 扫描后门;
  • 扫描木马、可疑代码;
  • 扫描消息和评论。

要获得更可靠的防火墙,您需要购买高级版(每年 99 美元起)。 免费版本提供基本插件功能。

向 Google、Bing 等发送请求。

被黑客入侵的负面结果是,许多搜索引擎、浏览器和安全软件将您的资源识别为有问题的资源,并向想要访问该站点的用户发出警报。 因此,他们试图确保用户的安全,防止他们陷入危险。

为了让您的网站尽快站稳脚跟,请联系 Google、Bing、Yahoo、Mozilla 和其他服务,将您的网站从他们的黑名单中删除。

总结

与大多数其他突然出错的事情一样,请小心并确保您采取一切可能的预防措施来保护您的 WordPress 网站免受任何攻击。 如果这是不可避免的并且您已经被黑客入侵,请不要灰心。

只需将负面体验(通常可以避免)用作警钟,按照上述步骤操作,并使用任何安全措施来避免将来发生此类事件。