WordPress 漏洞综述：2019 年 11 月，第 2 部分

WordPress 主题

如何积极应对 WordPress 主题和插件漏洞

运行过时的软件是 WordPress 网站被黑的第一大原因。 拥有更新程序对于 WordPress 网站的安全性至关重要。 您应该每周至少登录一次您的站点以执行更新。

自动更新可以提供帮助

对于不经常更改的 WordPress 网站，自动更新是一个不错的选择。 缺乏关注往往会使这些网站被忽视并容易受到攻击。 即使采用推荐的安全设置，在您的站点上运行易受攻击的软件也会为攻击者提供进入您站点的入口点。

使用 iThemes Security Pro 插件的版本管理功能，您可以启用自动 WordPress 更新以确保您获得最新的安全补丁。 这些设置可以通过选项自动更新到新版本或在站点软件过时时提高用户安全性，从而帮助保护您的站点。

版本管理更新选项

• WordPress 更新– 自动安装最新的 WordPress 版本。
• 插件自动更新- 自动安装最新的插件更新。 除非您每天积极维护此站点并在更新发布后不久手动安装更新，否则应启用此功能。
• 主题自动更新- 自动安装最新的主题更新。 除非您的主题具有文件自定义，否则应启用此功能。
• 对插件和主题更新的精细控制——您可能有想要手动更新的插件/主题，或者延迟更新直到版本有时间证明稳定。 您可以选择自定义，以便将每个插件或主题分配为立即更新 ( Enable )、根本不自动更新 ( Disable ) 或延迟指定天数 ( Delay ) 进行更新。

加强和提醒关键问题

• 运行过时软件时加强站点 - 当一个月未安装可用更新时，自动为站点添加额外保护。 当一个月未安装更新时，iThemes Security 插件将自动启用更严格的安全性。 首先，它将强制所有未启用双因素的用户在重新登录之前提供发送到其电子邮件地址的登录代码。其次，它将禁用 WP 文件编辑器（以阻止人们编辑插件或主题代码） 、XML-RPC pingbacks 并阻止每个 XML-RPC 请求的多次身份验证尝试（这两者都将使 XML-RPC 更强大地抵御攻击，而不必完全关闭它）。
• 扫描其他旧的 WordPress 站点- 这将检查您的主机帐户上是否有其他过时的 WordPress 安装。 一个存在漏洞的过时 WordPress 站点可能允许攻击者破坏同一托管帐户上的所有其他站点。
• 发送电子邮件通知– 对于需要干预的问题，会向管理员级别用户发送电子邮件。

管理多个 WP 站点？ 从 iThemes 同步仪表板一次更新插件、主题和核心

iThemes Sync 是我们的中央仪表板，可帮助您管理多个 WordPress 站点。 从同步仪表板，您可以查看所有站点的可用更新，然后一键更新插件、主题和 WordPress 核心。 当有新版本更新可用时，您还可以收到每日电子邮件通知。

来自网络的漏洞

我们将网络上的漏洞包括在内，因为了解 WordPress 生态系统之外的漏洞也很重要。 对服务器软件的利用可能会暴露敏感数据。 数据库泄露可能会暴露您站点上用户的凭据，从而为攻击者访问您的站点打开大门。

1. T-Mobile 漏洞