WordPress 安全流程； 测试、强化、监控、改进

WordPress 安全与许多其他 IT 安全领域没有什么不同。 这不是一次性修复。 这是从未真正完成的事情。 虽然您可以采取几个步骤来提高 WordPress 的安全性，但您的网站和业务需求将会发生变化。 所以采用时间点安全评估只会给你一种错误的安全感。 相反，获胜的策略是遵循一个连续的过程。 不断测试您的防御并对其进行迭代以改善您网站的安全状况的过程。

本文旨在提供一个易于遵循的长期迭代过程，您可以实施以确保您的 WordPress 安全工作是持续的，并继续与您和您的业务运营的威胁环境相关。

1. 测试 WordPress 安全性

大多数 WordPress 安全之旅从这里开始； 您注意到您的 WordPress 安装配置错误，或者您阅读了有关使用 WPScan 或 nmap 之类的工具来评估 WordPress 网站的安全性的信息。 也许您是安全事件的受害者，并且您想了解如何测试您的 WordPress 安全性。

安全测试是持续 WordPress 安全策略中的重要一步。 通过与攻击者相同的视角查看您的网站，您可以更好地了解其安全状况。 这意味着您将了解可以采取哪些措施来加强针对您发现的弱点的防御。 有关这方面的更多详细信息，请参见步骤 #2。

如果您不确定从哪里开始测试 WordPress 安全性，请聘请第三方专业人士。 当然，没有什么能阻止您逐渐积累知识来亲自测试您的 WordPress 网站。

2.强化WordPress

一旦您了解了您的安全测试发现了什么，就该加强您的 WordPress 安装了。 默认情况下，WordPress 相当安全。 但是，您可以对 WordPress 设置和服务器基础设施进行大量选择、优化和更改，以使攻击者的生活更加艰难。 其中许多优化——其中许多可能取决于您的用例。 这个过程通常被称为“安全加固”，或者简称为“加固”。

强化您的 WordPress 安装肯定不是一次性的事情。 您将需要安装新插件并扩展 WordPress 网站的功能以适应不断变化的业务需求。 当然，让您开始支持 WordPress 安全性的资源并不短缺。 以下是强化 WordPress 设置时应遵循的两个核心原则。

运行更少的软件

最初“少运行软件”听起来不是很有帮助。 但是，很可能您运行的软件超出了必要的数量。 这也意味着攻击者有更多空间利用该额外软件中的潜在弱点。

如果您不确定从哪里开始，请先查看您的 WordPress 插件。 问问自己没有什么可以做，然后删除。 将相同的原则应用于 PHP 扩展、Web 服务器配置以及操作系统工具和网络服务。

剥离软件通常不是一个容易开始的过程。 但是，每次您进行此练习时，它都会变得更加困难。 尽管运行更精简的系统的结果是值得付出努力的。

除了始终确保测试测试或登台环境中的任何更改之外，您还需要确保不删除诸如 WordPress 防火墙、WordPress 活动日志或 WordPress 文件完整性监控插件之类的软件，这些都是为了提高您的 WordPress 安全性。

这也适用于停用的插件和主题。 停用的插件应立即删除，因为在某些情况下，如果存在漏洞，它们的代码仍然可以被利用。 关于主题，您的网站仅使用一个主题。 如果您有一个子主题设置，可能有两个。 删除您网站上的所有其他主题，包括 WordPress 附带的默认主题。

最小特权原则

WordPress 不需要 root MySQL 用户来运行。 同样，在 Linux 服务器上以 root 身份运行大多数软件也是一个坏主意（相当于 Microsoft Windows 上的管理员）。 仅在有正当理由的情况下才使用 admin / root 帐户。

在这种情况下，作为一般规则，始终尽最大努力为应用程序或用户提供尽可能少的权限以完成工作。 当然，以 root 或管理员身份运行一切意味着一切都可以正常工作，而无需担心特权。 但是，这可能非常危险。 以管理权限运行应用程序（包括 cron 作业等任务）可能会使攻击者或恶意插件在发生安全漏洞时造成更大的破坏。

如果您不确定从哪里开始，请先查看谁是 WordPress 中的管理员，然后决定是否需要以某种方式对其进行限制——当您使用它时，您可能需要确保自己是通过 HTTPS (SSL) 访问 WordPress 管理员，并且您已经实施了双重身份验证 (2FA)（或者至少您已经为您的 WordPress 管理员实施了 HTTP 身份验证）。

当然，您可以采用其他几个 WordPress 安全强化技巧来改善 WordPress 网站的安全状况。 请参阅我们的 WordPress 安全教程和提示以了解更多信息。

3.监控WordPress

日志对于维护任何系统的安全都是至关重要的。 它们是我们拥有的最接近时间机器的东西。 在调查安全事件时，能够回答发生的事情和时间是必不可少的工具。 访问正确的日志可能意味着注意到攻击者已经在您的网站上站稳脚跟和让抢劫被忽视直到为时已晚之间的区别。

与日志记录相辅相成的是监控。 在其最基本的形式中，监控等待某个事件发生（通常通过定期查看一些日志），记录它并通常配置某种警报系统来提醒系统管理员发生了某事（例如 WordPress 入侵检测系统）。 虽然许多系统管理员通常会监控 CPU 和内存使用情况，但他们可能缺少对 WordPress 的监控访问权限。

WordPress 活动日志

能够回顾 WordPress 活动日志以准确了解用户在特定时间范围内所做的事情是调查中的关键分析工具。 此外，您希望能够将此信息与 Web 服务器、PHP 错误和数据库日志相关联。 这里有一些提示，可确保您至少正确地涵盖了基本的日志处理。

• 确保正确轮换日志，以确保不会耗尽磁盘空间
• 定期将您的日志备份到异地备份（例如 Amazon S3 或 Digital Ocean Spaces）
• 确定您希望将日志保留多长时间并配置活动日志保留策略。 建议至少保留 1 年
• 确保您可以在事件发生期间快速访问日志中的重要信息

其他日志

除了 WordPress 活动日志之外，作为站点管理员，您还可以访问许多其他日志，例如 Web 服务器日志、PHP 日志等等。 请参阅 WordPress 管理员的日志文件列表，以了解有关您有权访问的所有不同日志文件的更多信息。 这些帖子还强调了如何使用所有日志中的信息来跟踪事件或攻击。

4. 提高您的 WordPress 安全性

完成上述循环后，下一步就是尝试分析下一次可以做得更好的地方。 正如本文开头所讨论的，请记住，安全是一个持续的过程——尝试及时了解 WordPress 安全新闻，最重要的是，确保您始终掌握 WordPress 安全更新。

一旦你经历了几次这个过程，试着记录你自己的过程的细节。 让它成为你经常遵循的例行公事。 此外，每当您对 WordPress 网站进行更改时，请牢记安全性。 每当您对网站进行更改时，请遵循测试、强化、监控和改进网站安全的迭代 WordPress 安全流程。