十大 WordPress 安全错误以及如何避免它们

WordPress 安全错误很容易犯。 WordPress 安全中最常见的错误可能是基于过时的信息、常见的 WordPress 安全神话或只是不知道 WordPress 安全最佳实践。

虽然 WordPress 本身是安全的，但避免 WordPress 安全错误需要网站所有者的一些努力。 在这篇文章中，我们将介绍 10 大 WordPress 安全错误以及如何避免它们的提示。

让我们深入了解。我们将涵盖从 WordPress 主机质量到 WordPress 管理员登录再到您使用的主题和插件的所有内容。

1. 选择糟糕的主机

并非所有的网络主机都是平等的，从长远来看，仅根据价格选择一个主机可能会因 WordPress 安全错误而使您付出更多代价。

大多数共享主机环境是安全的，但有些没有正确分离用户帐户。 如果用户帐户没有正确分离，一个被盗用的帐户可能会关闭该共享服务器上的每个网站。

您的主机应该警惕应用最新的安全补丁并遵循与服务器和文件安全相关的其他重要的主机安全最佳实践。

如何避免选择糟糕的主机

为您的网站选择信誉良好且安全记录可靠的主机。

查看 iThemes Hosting 以获取您可以信任的托管服务提供商。

2. 没有 WordPress 备份计划

备份和安全听起来并不真正相关。 但请相信我们，在勒索软件攻击后备份您的 WordPress 网站确实可以节省您的精力。

勒索软件攻击是指黑客加密您网站的文件，使它们和您的网站无法访问。 要重新访问您的网站，您需要一个密钥来解密文件。 支付高额费用，黑客将非常乐意为您提供密钥。

备份您的 WordPress 网站可让您将网站回滚到网站被勒索赎金之前的状态。 您无需支付所需的赎金即可重新访问您的网站。 #培根保存

如何避免没有网站备份

创建计划以定期备份您的网站。

BackupBuddy，我们的 WordPress 备份插件，是我们推荐的 WordPress 备份工具。 使用 BackupBuddy，您可以为 5 种类型的 WordPress 备份设置备份计划，以便您的备份自动运行。 那是安心。

3. 不安全的登录

WordPress 登录是任何 WordPress 站点中受攻击最多、也可能最容易受到攻击的部分。 默认情况下，WordPress 没有内置任何内容来限制某人可以进行的失败登录尝试次数。 攻击者可以进行的登录尝试失败次数没有限制，他们可以不断尝试无数的用户名和密码，直到成功。

您的 WordPress 登录很像您家的前门。 如果你的前门没有锁，任何人都很容易走进你的家，开始移动你的家具，砸你的东西，偷你的电视。 只有在你的前门加一把锁才能让潜在的小偷更难闯入你的家才有意义。

如何避免不安全的登录

使用 WordPress 安全插件来限制无效的登录尝试。

iThemes Security Pro 本地暴力保护功能会跟踪主机或 IP 地址和用户名进行的无效登录尝试。 一旦 IP 或用户名连续多次尝试无效登录，它们将被锁定并阻止再次尝试。

4. 没有针对自动机器人攻击的保护

机器人是一种经过编程以执行特定任务列表的软件。 开发人员创建一组指令，机器人将自动遵循这些指令，而无需开发人员告诉他们开始。 机器人将比我们更快地执行重复和平凡的任务。

其中一些机器人的编程目的是邪恶的，例如：

蛮力机器人在互联网上搜索 WordPress 登录名以进行攻击。

内容抓取机器人被编程为在未经您许可的情况下下载您网站的内容。 机器人可以复制内容以在攻击者的网站上使用，以提高他们的 SEO 并窃取您的网站流量。

垃圾邮件机器人通过承诺在家工作时成为百万富翁来破坏您的评论，希望将您的访问者发送到恶意网站。

如何避免自动机器人攻击

通过在您的网站上使用自动机器人保护（如 Google reCAPTCHA）来避免此 WordPress 安全错误。

iThemes Security Pro 中的 Google reCAPTCHA 功能可保护您的网站免受恶意机器人的侵害。 reCAPTCHA 使用先进的风险分析技术来区分人类和机器人。 一旦发现坏机器人，它将从您的网站启动。

5. 使用易受攻击的插件、主题或 WordPress 核心版本

易受攻击的 WordPress 插件或主题是您可能犯的最大的 WordPress 安全错误。 保持软件更新是任何安全策略的重要组成部分，这包括 WordPress 核心以及您的主题和插件。 版本更新不仅仅用于错误修复和新功能。 更新还可以包括关键的安全补丁。 如果没有该补丁，您的手机、计算机、服务器、路由器或网站很容易受到攻击。

黑客以修补漏洞为目标，因为他们知道人们不会更新（包括您网站上的插件和主题）。 在修补漏洞之日公开披露漏洞是行业标准。 漏洞被公开披露后，该漏洞将成为软件过时和未修补版本的“已知漏洞”。 具有已知漏洞的软件很容易成为黑客的目标。

黑客喜欢简单的目标。 拥有具有已知漏洞的过时软件就像向黑客提供分步说明以闯入您的 WordPress 网站。

拥有一个有补丁但未应用的易受攻击的插件或主题是被黑 WordPress 网站的罪魁祸首。

如何避免使用易受攻击的插件和主题

保持所有插件和主题更新以避免易受攻击软件的 WordPress 安全错误。

使用 iThemes Security Pro 站点扫描。 站点扫描会自动检查您站点上安装的已知漏洞。 如果有补丁可用，iThemes Security Pro 会自动为您应用修复。

6. 弱用户安全

弱用户安全是一个主要的 WordPress 安全错误。 简而言之：使用弱密码的单个 WordPress 管理员用户可能会破坏您已实施的所有其他网站安全措施。 这就是为什么用户安全是任何 WordPress 安全策略的重要组成部分。

根据 Verizon 数据泄露调查报告，超过 70% 的员工在工作中重复使用密码。 但报告中最重要的统计数据是“81% 的与黑客相关的违规行为利用了被盗密码或弱密码。”

在 Splash Data 编制的列表中，所有数据转储中包含的最常见密码是 123456。数据转储是一个被黑的数据库，其中填充了在互联网上某处转储的用户密码。 如果 123456 是数据转储中最常见的密码，您能想象您网站上有多少人使用弱密码吗？

黑客的工具越来越好，他们可以比以往更快地绕过密码。 例如，让我们看一下由高性能密码破解公司 Terahash 创建的图表。 他们的图表显示了使用 448x RTX 2080 的哈希堆栈集群破解密码所需的时间。

默认情况下，WordPress 使用 MD5 来散列存储在 WP 数据库中的用户密码。 因此，根据此图表，Terahash 几乎可以立即破解 8 个字符的密码。 这不仅令人印象深刻，而且非常可怕。

更糟糕的是，尽管 91% 的人知道重复使用密码是不好的做法，但仍有 59% 的人在任何地方重复使用他们的密码！ 这些人中的许多人仍在使用他们知道出现在数据库转储中的密码。

黑客使用一种称为字典攻击的蛮力攻击形式。 字典攻击是一种使用出现在数据库转储中的常用密码闯入 WordPress 网站的方法。 “系列#1？ 托管在 MEGA 托管的数据泄露包括 1,160,253,228 种独特的电子邮件地址和密码组合。 那是一个 b 的十亿。 这种分数确实有助于字典攻击缩小最常用的 WordPress 密码的范围。

如何避免弱用户安全

避免用户安全性较弱的 WordPress 安全错误的最佳方法是创建强密码策略并使用双因素身份验证。

iThemes Security Pro 密码要求功能允许强制用户组成员使用强密码、选择密码过期时间、拒绝密码泄露以及强制更改站点范围的密码，以使每个人都遵守新的强密码策略。

双因素身份验证是通过需要两种不同的验证方法来验证个人身份的过程。 谷歌在其博客上分享说，使用双因素身份验证可以阻止 100% 的自动机器人攻击。

在您的网站上实施 2fa 时， iThemes Security Pro 两因素身份验证功能提供了极大的灵活性。 您可以为所有或部分用户启用双重验证，并且可以强制高级用户在每次登录时使用 2fa。

7. 未加密通信（无 SSL）

不加密您网站上的通信是一个严重的 WordPress 安全错误。 每当我们进行在线购买时，您的浏览器和在线商店之间都会进行通信。 例如，当我们在浏览器中输入信用卡号时，浏览器将与在线商店共享该号码。 商店收到付款后，它会告诉您的浏览器让您知道购买成功。

关于我们的浏览器和商店服务器之间共享的信息，需要记住的一件事是信息在传输过程中会经过多次停靠。 如果通信未加密，黑客可能会在信用卡到达商店服务器的最终目的地之前窃取我们的信用卡。

为了更好地了解加密的工作原理，请考虑我们的购买是如何交付的。 如果您曾经跟踪过在线购买的交付状态，您就会发现您的订单在到达您家之前停了几次。 如果卖家没有正确包装您购买的商品，人们很容易看到您购买的商品。

如何避免未加密的通信

您将需要 SSL 证书来加密您网站上的通信。 如果您的 WordPress 网站缺少 SSL，您应该做的第一件事就是询问您的托管服务提供商，看看他们是否提供免费的 SSL 证书和配置。

Cloudflare 为 WordPress 网站提供免费的共享 SSL 证书。 如果您不想拥有共享的 SSL 证书并且您对命令行感到满意，那么 CertBot 是一个很好的选择。 Certbot 不仅会使用 Let's Encrypt 为您创建免费的 SSL 证书，还会自动为您管理证书的更新。

8. 安全日志和监控不足

网站上的登录不足是一个足够大的 WordPress 安全错误，它登上了 OWASP 前 10 名的 Web 应用程序安全风险。 日志记录是 WordPress 安全策略的重要组成部分。 监控正确的行为将帮助您识别和阻止攻击、检测漏洞以及访问和修复成功攻击后对您的网站造成的损害。

日志记录和监控不足会导致检测安全漏洞的延迟。 大多数违规研究表明，检测违规的时间超过 200 天！ 这段时间允许攻击者破坏其他系统、修改、窃取或破坏更多数据。

如何避免记录不足

向您的网站添加安全日志以避免此 WordPress 安全错误。 您可以使用 WordPress 提供的一些开发人员功能和过滤器来创建日志系统，但启动安全日志的最简单方法是安装 WordPress 安全插件

iThemes Security Pro WordPress 安全日志会自动监控和记录您网站上发生的关键安全事件。

9. 未使用的插件和主题

在您的网站上放置未使用或不活动的插件和主题是 WordPress 的一个主要安全错误。 您网站上的每一段代码都是黑客的潜在切入点。

开发人员在他们的插件和主题中使用第三方代码（如 JS 库）是常见的做法。 不幸的是，如果这些库没有得到妥善维护，它们可能会产生攻击者可以利用的漏洞来入侵您的网站。

如何避免插件和主题

卸载并完全删除 WordPress 网站上任何不必要的插件和主题，以限制网站上的访问点和可执行代码的数量。

此外，避免使用废弃的 WordPress 插件。 如果您的 WordPress 网站上安装的任何插件在六个月或更长时间内未收到更新。

10. 从不受信任的来源安装软件

从不受信任的来源安装软件是造成 WordPress 安全错误的快速方法之一。 您应该警惕商业插件的“无效”版本。 通常，这些免费或大打折扣的专业插件版本包含恶意代码。

如果您是安装恶意软件的人，那么您如何锁定 WordPress 网站并不重要。

如何避免来自不受信任来源的软件

您应该只安装从 WordPress.org、知名商业存储库或直接从信誉良好的开发人员那里获得的软件。

如果 WordPress 插件或主题未在开发人员的网站上分发，则您需要在下载插件之前进行尽职调查。 联系开发人员，看看他们是否与以免费或折扣价提供其产品的网站有任何关联。

总结：解释 10 大 WordPress 安全错误

正如我们所看到的，有很多潜在的 WordPress 安全错误。 幸运的是，只要我们稍加努力，就可以轻松避免所有安全错误。

一个简单的 WordPress 安全检查表

大多数 WordPress 安全漏洞可以通过对 WordPress 安全采取主动方法来缓解。 回顾一下，这里有一个简单的 WordPress 安全检查清单：

• 1.选择优质主机。
• 2. 创建备份计划。
• 3. 限制无效登录尝试
• 4. 添加自动机器人保护。
• 5. 避免使用易受攻击的软件。
• 6. 使用强密码和 2fa。
• 7. 使用 SSL 加密通信。
• 8. 添加WordPress安全日志。
• 9. 删除未使用的插件和主题。
• 10. 只安装来自可信来源的软件。

获取 iThemes 安全专业版

迈克尔·摩尔

每周，Michael 都会汇总 WordPress 漏洞报告，以帮助确保您的网站安全。 作为 iThemes 的产品经理，他帮助我们继续改进 iThemes 产品阵容。 他是一个巨大的书呆子，喜欢学习所有新旧技术。 你可以找到迈克尔和他的妻子和女儿一起出去玩，在不工作的时候阅读或听音乐。