• 主頁
  • 文章
  • 主題
  • 您的 WordPress 網站安全嗎? WordPress 網站容易受到攻擊嗎?

您的 WordPress 網站安全嗎? WordPress 網站容易受到攻擊嗎?

已發表: 2017-03-09

兩三年前,搶劫僅限於破門而入竊取他人的現金或貴重物品。 今天的惡作劇製造者和強盜會以黑客的形式出現。 任何為了個人利益或政治原因而發現和利用軟件漏洞的人。

在我開始之前,您應該知道本文不會深入探討 WP 安全的本質,而是討論 WordPress 漏洞的原因。 如果這不是您要查找的內容,我建議您閱讀 – “加強 WordPress 安全性 – 保護 WordPress 站點的完整指南”。 儘管如此,我必須指出,了解過去 WP 漏洞的性質,可以提供有關如何確保網站安全協議的深刻見解。

為什麼人們會闖入網站和數據中心? 闖入保存客戶信息、電子郵件 ID、信用卡號等的網站比搶劫銀行更有利可圖。 如果您經營一個相當成功的網站,我敢肯定已經進行了數百次甚至數千次訪問您網站信息的嘗試。

最近,AshleyMadison.com 遭到黑客攻擊,3700 萬用戶的詳細信息被盜。 黑客要求關閉該網站,否則他們將發布被盜用戶的詳細信息,包括性幻想。 這讓您體驗了黑客僅通過獲取信息訪問權限就可能造成的破壞。

網絡安全是一個非常重要的話題,並且越來越多的網站彈出來收集其用戶的個人信息,因此變得越來越重要。

多達 65% 的網絡使用 WordPress 作為內容管理系統運行,所以今天我將討論 WordPress 安全性以及過去 WP 網站是如何成為目標或被黑客攻擊的。

為什麼要投資於良好的安全實踐?

  • 您欠您的客戶和信任您敏感個人信息以確保其安全的客戶。
  • 您的網站被黑客入侵 – 您會賠錢。
  • 您的網站被黑了 – 您的搜索引擎排名幾乎是一次地獄之旅。

WordPress 網站被成千上萬甚至數十萬黑客入侵。 並非每個網站都報告他們過去曾被黑客入侵的事實。 正如您可能猜到的那樣,這對他們的品牌來說並不是一個很好的認可。

我想說明這篇關於 WordPress 安全性的文章的必要性。

根據 Sandro Gucci(Enable Security 創始人)的一項研究。

  • 73.2% 最受歡迎的 WordPress 安裝容易受到可以使用免費自動化工具檢測到的漏洞的影響。
  • 只有 7,814 個網站(18.55%)升級到 WordPress 3.6.1,這是進行測試時 WP 的最新版本。
  • 13,034 個網站 (30.95%) 仍在運行易受攻擊的 WordPress 版本 3.6。 WordPress 3.6 當時有 5 個已知漏洞。

如果您想知道,這只是暗網上某處未知的小型網站的一些不公平的概括特徵,您就錯了。 這些統計數據是根據對 Alexa 排名前一百萬的網站上大約 42,000 個 WordPress 網站的研究得出的。 對於據稱是網絡上訪問量最大的網站來說,這是大量易受攻擊的網站。 這些網站收集了大量有關其訪問者和訂閱者的信息。

2013 年 9 月的統計數據是真實的,我認為從那時起它不會有太大偏差,即使它有,這裡顯示的統計數據顯示了困擾 WordPress 的安全問題的規模。

如果您想要更多證據證明 WordPress 可能會受到損害。 我推薦你參考 Netcraft 的一項研究,

  • 2014 年 2 月,有 12,000 個 WordPress 博客用作釣魚網站的平台。
  • Netcraft 為分發 Web 託管惡意軟件而阻止的所有惡意軟件 URL 中,超過 8% 是 WordPress 博客。

我應該指出,這些博客中沒有一個是在 Automattic wordpress.com 上運行的。 這應該很清楚地說明,即使是 WordPress,如果不謹慎使用並且對 WP 安全有一些了解,也可能容易受到攻擊。 另一個原因可能與 wordpress.com 上託管的所有博客幾乎在 WordPress 更新發布後立即更新的事實有關。 應該注意的是,從那時起,WP 3.7 版中引入了自動 WordPress 更新,以保護網站免受零日攻擊。

甚至在那之後,WordPress 仍然存在許多安全問題。 查看此平台不同版本中的 WordPress 漏洞列表。

現在,您無法採取任何措施來防止這種情況發生,新漏洞幾乎總是會被發現。 顯然,核心 WP 團隊非常重視安全性,並使 WordPress 更加安全。

但與其他所有流行軟件一樣,當更多人開始使用漏洞時,利用漏洞會變得更有利可圖。

不相信我? 如果您相信 WordPress 會以某種方式突然擺脫所有漏洞,請查看此圖表!

多年來的 wordpress 漏洞

雖然漏洞數量從 2007 年和 2014 年的高位開始下降,但由於 WordPress 越來越受歡迎,盈利能力不斷提高,因此發現新漏洞和利用的動力永遠在上升。

WordPress 開箱即用可能是安全的,但是在添加瞭如此多的插件/主題和自定義代碼之後,漏洞的數量開始迅速增加。

話雖如此,我們可以對您的 WordPress 進行一些小的更改,以使其更加安全。 首先我們需要對WordPress安全有一個透徹的了解,這對於找出安全失敗的原因非常有幫助。

您可能會驚訝地發現,在出現安全漏洞的情況下,WP 核心平台出現故障的情況很少見。 您添加到 WP 中的內容更有可能造成黑客可能利用的漏洞。

WordPress 網站如何遭到入侵?

確保完全安全的困難在於,沒有這樣的事情。

假設您的 WordPress 是完全安全的,您仍然需要擔心 Apache、FTP 客戶端、MySQL 以及在您的服務器上運行的任何軟件。 您的網站的安全性取決於其最薄弱的環節。 這包括主機軟件的質量、網站運行的主題和插件。

我希望我有更多最近的統計數據,我也可以指向你,但這項研究作為 WpWhiteSecurity 博客上的信息圖提供,提供了大量關於 WordPress 網站如何被黑客入侵以及是什麼使它們易受攻擊的見解。

該研究基於 2012 年被黑客入侵的 170,000 個網站的信息進行。黑客數量比上一年(2012 年)增加了 18%,有趣的是漏洞數量並沒有增加相同的百分比。 但是,由於 WordPress 和基於 WordPress 的產品的使用增加,即使漏洞的小幅增加也會影響更多的網站。

  • 41% 的被黑 WordPress 是通過其託管平台上的安全漏洞被黑的。
  • 29% 是通過他們使用的 WordPress 主題中的安全問題被黑客入侵的。
  • 22% 是通過他們使用的 WordPress 插件中的安全問題被黑客入侵的。
  • 8% 被黑客入侵,因為他們的密碼很弱。
  • 綜上所述,我們可以得出結論,超過 51% 的被黑 WordPress 網站是通過他們使用的 WordPress 主題或插件中的漏洞而被黑的。

絕大多數黑客攻擊是由於以插件、主題的形式安裝軟件,以及網絡託管服務提供商未能充分加強服務器端的安全性。

在討論託管、主題和插件的安全性方面有哪些好的選擇之前,討論保護網站的措施沒有任何意義。 在我開始推薦具體的安全措施以加強 WP 安全之前,我肯定會討論如何為您的網站找到好的第三方軟件和安全託管。

結論

由於內容管理系統的核心代碼中的錯誤,WordPress 網站很少容易受到攻擊。 但是一個網站並不僅僅基於內容管理系統運行,它需要一個虛擬主機來託管網絡上的 CMS、主題使其變得有趣,並需要插件來添加必要的功能。 現在向您的 WordPress 安裝添加多層第三方軟件開始使您的安全性有點漏洞,如果它做得不對。

您的 WordPress 核心、插件和主題以及網絡主機需要進行通信以保持您的 WordPress 站點運行。 這種交互有時存在缺陷,它使網站容易受到攻擊。

當然 8% 的網站可能會因密碼弱而受到損害,但有大量證據表明,添加編寫不當的插件/主題或運行在過時軟件上的網絡主機是所有 WordPress 網站中很大一部分的主要原因被黑或關閉。

現在我們已經明確了 WordPress 漏洞的原因,作為 WP 安全系列的下一篇文章的一部分,我將討論您需要採取哪些步驟來加強 WordPress 安全性。

如果您的 WordPress 網站曾被黑客入侵或成為 DDOS 攻擊的受害者,請務必分享詳細信息。 如果問題在我們的能力範圍內,無論是艾加斯還是我都會嘗試解決問題。 乾杯