選擇 WodPress 託管服務提供商時應考慮哪些安全因素？

由於 WordPress 全面普及，影響不同 WordPress 網站託管公司的安全事件也越來越多。

GoDaddy 是最近的例子，因為他們最近在其 WordPress 託管環境中出現了安全漏洞。 上周宣布有未經授權的第三方訪問其託管 WordPress 託管環境，影響多達 120 萬活躍和非活躍客戶的數據。

GoDaddy 上的 WordPress 安全漏洞

首席信息安全官 (CISO) Demetrius Comes 於 11 月 22 日在向美國證券交易委員會 (SEC) 提交的文件中宣布，他們於 11 月 17 日發現未經授權訪問 GoDaddy 的託管 WordPress 服務器。 他們確定該事件已於 2021 年 9 月 6 日開始，並暴露了 120 萬活躍和非活躍 WordPress 託管客戶的數據。 他們在託管 WordPress 託管環境中發現了可疑活動，並在 IT 取證公司的幫助下立即開始調查並聯繫了法律當局。 洩露的密碼允許攻擊者訪問他們的系統。

公告指出：

• 多達 120 萬活躍和不活躍的 WordPress 託管客戶的電子郵件地址和客戶編號被暴露。 電子郵件地址的暴露會帶來網絡釣魚攻擊的風險。
• 配置時設置的原始 WordPress 管理員密碼已暴露。 如果這些憑據仍在使用中，他們會重置這些密碼。
• 對於活躍客戶，sFTP 和數據庫用戶名和密碼被暴露。 他們重置了兩個密碼。
• 對於一部分活躍客戶，SSL 私鑰已暴露。 他們正在為這些客戶頒發和安裝新證書。

最後，Comes 補充說：“我們對這一事件及其對我們客戶的擔憂深表歉意。 作為 GoDaddy 的領導層和員工，我們非常認真地履行保護客戶數據的責任，絕不希望讓他們失望。 我們將從這次事件中吸取教訓，並已經採取措施通過額外的保護層來加強我們的供應系統。”

可以想像，互聯網上有很多批評 GoDaddy 的消息，不僅是因為他們花了 5 天時間才報告違規行為，而且還因為他們花了 2 個多月的時間才檢測到上述攻擊，因為它可能發生在 9 月 6 日。 如果您是受影響的客戶，您還將找到有關在技術和法律上應採取哪些行動的更多信息。 我什至不想考慮這對 GoDaddy 和所有可能受到影響的客戶來說是多麼糟糕！

選擇託管公司時安全的重要性

當我們談論選擇 WordPress 託管的關鍵要求時，我們會考慮一整套因素：與不同版本的 PHP 的兼容性，它提供哪些功能和工具來輕鬆管理 WordPress 安裝，我們頁面的快速加載速度，高效的支持服務，當然還有合理的費用。

但我們不要自欺欺人：我們經常將安全方面置於我們優先事項的底部。 為什麼？ 首先，因為我們的託管服務提供商的安全性是我們認為理所當然的事情。 但這是荒謬的，因為如果我們確定一件事，那就是沒有計算機系統是 100% 安全的。 其次，安全性難以快速輕鬆地評估。 只有當安全漏洞發生時，我們才會意識到可能存在的漏洞。

您網站的安全性有點像您的健康。 如果你身體好，你就不會考慮太多。 但是，當你身體不適的那一天，世界就會向你傾倒。 通常，生病是不可避免的，但預防和早期發現可以為您節省很多悲傷。 安全性也是如此。 如果您的網站被黑客入侵，您的業務不僅會倒閉，而且您還可能因未採取適當的安全措施而陷入法律糾紛。

如果我們想嘗試防止安全漏洞，我們應該從託管服務提供商那裡得到什麼？

軟件安全

讓我們所有人感到厭煩的是必須更新我們在計算機上使用的軟件。 但我們這樣做非常重要，因為大多數更新正是為了保護它免受已知漏洞的影響！

因此，當您通過託管公司託管 WordPress 網站時，請確保它符合 WordPress 推薦的兼容性要求和最新的軟件更新。 查看官方 WordPress 網站了解它們。 在撰寫本文時，建議的要求是：

• PHP 7.4 或更新版本。
• MySQL 5.6 或更新版本，或者 MariaDB 10.1 或更新版本。
• HTTPS

我的建議：甚至不要考慮任何不符合這些要求的託管公司。

SSL 可用性和支持

超文本傳輸協議（超文本傳輸協議或HTTP ）是一種用於網絡系統的協議，旨在定義和標準化組成網絡的不同計算機之間發生的事務的語法和語義. 換句話說，它描述了 Web 服務器與 Web 瀏覽器（例如​​ Google Chrome 或 Mozilla Firefox）通信的方式。

HTTPS 是指在安全套接字層 (SSL) 上使用 HTTP 或與傳輸層安全性 (TLS) 的連接，它負責加密所有 HTTP 消息以確保它們的傳輸安全。 當用戶向 Web 服務器提交信息時，SSL 本質上提供了一整套保護層：

• 加密：如果攻擊者設法截獲該信息，它將毫無用處，因為他們不知道如何解密它（但你會）。
• 數據完整性：攻擊者將無法“修改”所發送消息的內容。
• 身份驗證：避免網絡釣魚或中間人攻擊，即用戶在認為他們正在與其他人交談時向第三方提供信息。

通過這種方式，例如，您可以確保在您的網站上進行的購買數據不會被犯罪分子讀取和/或修改。

如果您的網站使用 SSL，大多數瀏覽器將顯示以https://開頭的 Web URL，並在地址欄附近或附近的某處顯示掛鎖圖標，從而為訪問者提供有關當前網站安全性的視覺線索。

在尋找託管服務提供商時，請確保它支持 SSL，並檢查設置它是否容易。

備份還原

如果您的 WordPress 遭受惡意軟件攻擊，您很可能最終需要恢復沒有受感染代碼的舊備份。 因此，請確保您的託管服務提供商定期自動備份您的 WordPress 網站。

確保您知道：

• 備份頻率，
• 您可以訪問多少個站點備份，
• 無論您可以輕鬆地自行恢復所有這些，還是必須請求恢復並支付服務費用，
• 您是否可以執行文件、文件夾、電子郵件帳戶或數據庫的部分恢復，
• 您是否可以訪問還原歷史記錄。

防禦 DDoS 攻擊

分佈式拒絕服務 (DDoS) 攻擊是一種嘗試通過觸發“大量”請求來關閉 Web 服務器的攻擊，直到服務器過載和崩潰。

為了防止它們，一些託管服務提供商（例如 SiteGround 和 Bluehost）與 Cloudflare 等內容交付網絡 (CDN) 合作。 CDN 運營全球服務器網絡，可以更輕鬆地更快地提供數據並吸收 DDoS 等資源密集型攻擊。 這有助於託管公司減少自己服務器上的負載，而無需大量投資於額外的基礎設施。 強烈建議您檢查您的託管公司是否使用 CDN。

還要確保他們為此類攻擊準備了協議，例如：

• 過濾洪水流量的防火牆硬件，
• 基於iptables的防火牆軟件，功能複雜，流量監控，
• 它們限制了可以遠程建立的連接數量，
• 他們檢查來自主機的大量失敗的連接嘗試並執行過濾。

惡意軟件掃描

正如我們在 GoDaddy 的案例中所看到的，惡意軟件是可以影響服務器的惡意軟件。 它們可能會導致輕微感染，例如某些數據被盜，或清除整個數據庫。

了解您的託管服務提供商如何控制和檢查此類攻擊非常重要。 他們多久執行一次掃描？ 他們是否有帳戶隔離系統，以便在感染時將其控制住？

可用性和正常運行時間

信息安全的三大支柱被稱為 CIA 三元組（機密性、完整性和可用性）。 您網站的可用性和正常運行時間（網站處於活動狀態和可用時間的百分比）對任何網站都至關重要。

託管公司有很多方法來確保這種可用性。 例如，有些採用 RAID 技術、硬件冗餘、網絡冗餘，甚至替代鏡像位置。 確保您的託管服務提供商在其條款和條件的服務水平協議 (SLA) 中保證您的最低可用性。 例如，在 Siteground 的情況下，他們保證：

5.2. 我們保證每年 99.9% 的網絡正常運行時間。 如果我們低於保證的網絡正常運行時間，我們將按以下方式補償您；

• 99.9% – 99.00% 正常運行時間：1 個月免費託管
• 每損失 1% 的正常運行時間低於 99.00%，可額外獲得一個月的免費託管。

SLA 是您的託管服務提供商對基礎設施的投資以及他們為保證服務所做的承諾的另一個指標。

結論

正如我已經提到的，安全就像健康。 儘管您永遠無法保證絕對控制它，但您承擔的風險越少越好。 保護您的站點並註意其安全性可以防止出現重大的不良後果。 這種保護始於為您的 WordPress 網站選擇一個好的託管服務提供商。

Unsplash 上 Liam Tucker 的特色圖片。