如何對您的 WordPress 網站進行安全審計

已發表: 2021-06-09

您上次進行 WordPress 安全審核是什麼時候? 您曾經可能已經了解甚至在您的 WordPress 站點上執行了完整的 WordPress 安全審核。 很有可能,這可能不是您喜歡的過程,但您這樣做是出於必要性以防止惡意黑客入侵。

不幸的是,一次性努力解決您的 WordPress 網站的安全問題是不夠的。 惡意黑客攻擊不斷升級。 好消息是,您可以使用的預防措施和安全工具隨著威脅而不斷發展。

完整的 WordPress 安全審核是找出哪些安全措施在您的網站上有效而哪些沒有的最佳方式。 如果您希望限制黑客未經授權訪問您的網站的機會,則此過程應大約每三個月執行一次。

將此指南加入書籤,因為您將學習在您的網站上成功運行 WordPress 安全審核的每一步。

讓我們來看看。

在本指南中

    什麼是 WordPress 安全審計?

    簡而言之,WordPress 安全審核是對您網站的安全措施的檢查。 但是進行 WordPress 安全審核,您可以確定要採用的其他安全措施,以確保您的網站得到完全安全和保護。

    運行完整的安全審計涉及相當多的步驟,如果您不遵循特定流程並準備好檢查清單,將會變得不堪重負。

    即使您過去曾進行過安全檢查,本指南也將幫助您設置一個可以每三個月重複一次的流程。 在一個完美的世界中,您每天都會進行一次安全審計。 但如果你沒有那樣的時間,每三個月一次是一個很好的開始。

    為什麼要運行 WordPress 安全審計?

    由於您的網站面臨如此多的威脅,因此讓您的 WordPress 網站盡可能安全非常重要。 對您的網站運行 WordPress 安全審核可幫助您準備並防止對您網站的成功攻擊。 您無法保護您的網站免受所有可能的問題的影響,但您可以通過運行 WordPress 安全審核來確保為最常見的威脅做好準備。

    在某個時間點,幾乎每個在 WordPress 上運行的網站都將面臨安全問題。 例如,主題和插件可能存在漏洞,黑客可以利用這些漏洞惡意訪問您的網站。

    一旦他們進入,他們將能夠展示未經授權的廣告和內容,將您的網站流量轉移到另一個網站,欺騙您的客戶,甚至竊取個人數據。 這些場景只是黑客訪問您網站後端時可以做的事情的開始。

    運行完整的 WordPress 安全審核將幫助您立即識別這些類型的問題,以便您可以關閉網站上的任何安全漏洞。

    WordPress 安全審計

    如何執行 WordPress 安全審計:14 個問題需要回答

    為使事情盡可能簡單,以下是您每次對網站進行全面安全審核時需要採取的編號步驟。

    1. 您網站上的所有軟件是否都是最新的?

    在進行 WordPress 安全審核時,要檢查的一件簡單但非常重要的事情是您網站上的所有內容是否都是最新的。 這包括所有插件、主題和 WordPress 本身。 您的網站上是否有任何關於插件、主題或 WordPress 本身的未決更新?

    特別是對於 WordPress,版本更新通常包括安全修復和改進。 如果您運行的是舊版本,則任何安全問題通常都是已知的並可被利用。 這就是為什麼保持 WordPress 網站上的所有內容更新如此重要的原因。

    更新位於 WordPress 管理儀表板的幾個不同位置。 (這可能是有意為之,因為更新對您網站的健康和安全非常重要。)

    WordPress 更新

    您可以使用 iThemes Security Pro WordPress 版本管理功能在您的站點上自動更新。 自動更新可確保您獲得關鍵的安全補丁,以保護您的網站免受 WordPress 安全漏洞的影響,此外,它還可以減少您維護 WordPress 網站的時間。

    提示:如果您管理多個 WordPress 網站,請使用 iThemes Sync 等服務快速運行更新。

    2. 誰對您的網站具有管理員級別的訪問權限?

    WordPress 允許多個用戶在站點維護和開發中進行貢獻和協作。 但並非您的每個用戶都需要對您網站的完全管理訪問權限。 了解每個用戶的正確用戶角色 - 並非每個人都需要完全訪問權限。 限制訪問限制了用戶的安全問題。

    一個典型的例子是作家。 他們只需要允許編寫和發佈內容的訪問權限。 但是,他們不需要允許他們進行其他站點更改的訪問權限,例如更新主題或安裝插件。

    為了幫助您正確地對站點用戶進行分類,WordPress 提供了六個不同的用戶角色,您可以將這些角色分配給每個用戶。

    • 超級管理員
    • 行政人員
    • 編輯
    • 作者
    • 貢獻者
    • 訂戶

    請注意,這些角色中的每一個都有自己獨特的站點權限。

    當您進行 WordPress 安全審核時,您首先要分析添加到站點後端的每個用戶。

    • 有多少用戶具有完全管理員訪問權限?
    • 有多少用戶實際需要管理員訪問權限?
    • 您可以通過為不需要管理員訪問權限的人提供較低的權限來限制站點訪問嗎?
    • 您是否認識每個有權訪問儀表板的用戶? 如果不是,請刪除您不認識的用戶,因為他們可能是黑客在您的網站上創建的流氓帳戶。

    完成後,請確保作為站點管理員的任何個人都沒有使用名稱 Admin。 這無疑是最常見的 WordPress 用戶名,黑客利用它來試圖獲得未經授權的網站訪問權限。

    如果某人擁有管理員帳戶,您首先需要為該人創建一個全新的帳戶並將現有內容分配給新用戶帳戶。

    完成後,只需刪除名為 Admin 的帳戶。

    3. 您是否使用雙因素身份驗證?

    添加 WordPress 雙重身份驗證是保護您網站登錄訪問的最佳方法之一。 兩因素身份驗證要求用戶除了使用用戶名和密碼之外,還需要使用身份驗證令牌來登錄 WordPress。

    即使直接從用戶的電子郵件中獲取正確的用戶名和密碼,如果用戶使用移動應用程序接收其身份驗證令牌,仍然可以防止惡意登錄嘗試。 兩因素身份驗證為您的 WordPress 站點添加了一個非常強大的安全層,並且可以使用 iThemes Security 之類的插件輕鬆添加。

    事實上,谷歌最近的研究證實,使用雙因素身份驗證可以 100% 阻止自動機器人攻擊。 我喜歡那些賠率。 iThemes Security Pro 可以輕鬆地向 WordPress 網站添加兩因素身份驗證。

    4. 您有 WordPress 網站的備份解決方案嗎?

    如果在安全審核期間出現任何問題,您會很高興您擁有可以立即投入使用的站點的完整備份。 這使您可以快速恢復站點並在出現問題時使其恢復正常。

    但是你有沒有考慮過如果你的備份副本失敗了你會怎麼做? 如果您根本無法恢復您的網站,您會怎麼做?

    這就是為什麼不僅要有備份解決方案而且要對其進行測試很重要的原因。 如果您用於站點備份的只是來自主機的工具,那麼許多工具不允許您運行測試。

    相反,下載並安裝名為 BackupBuddy 的 WordPress 備份插件。 此插件會自動對您的整個網站進行完整備份。

    請記住,您對站點進行的第一次備份可能需要一些時間,因為它會將您的整個站點複製到備份服務器上。 但是,未來的備份會快很多,因為它們只會備份自上次備份以來您對站點所做的更改。

    使用 BackupBuddy 完成站點備份後,您將能夠進入儀表板並測試它將如何恢復。

    5. 你有任何未使用的 WordPress 插件嗎?

    易受攻擊的插件是許多不同 WordPress 黑客的弱點。 插件是由開發人員創建的工具,它們也維護它們並保持更新。 但是,與所有形式的軟件一樣,隨著時間的推移,不同的安全漏洞可能會成為一個問題。

    大多數插件開發人員會快速修復這些問題,並發布更新供用戶下載和安裝。 更新通常是從您的網站中刪除漏洞的特定安全補丁。

    在這些更新可用時立即下載它們非常重要。

    在您的 WordPress 安全審核期間,查看您網站上已安裝插件的列表。 大多數 WordPress 網站所有者喜歡嘗試新插件,看看他們會做什麼。 但是我們通常不會永久使用它們而忘記我們已經安裝了它們。

    花一些時間刪除您不使用的插件。 這會帶走您網站上所有不需要的元素,並降低黑客入侵的風險。

    確保您運行的所有插件都很熟悉並且您能認出它們。 如果您不認識正在運行的插件,並且您確定您的團隊沒有安裝它,那麼最好盡快擺脫它。 它可能包含感染您網站的惡意軟件。

    黑客通常會使用盜版軟件來分發惡意惡意軟件。

    6. 你有任何未使用的 WordPress 主題嗎?

    作為 WordPress 網站所有者,安裝許多不同的主題以找到我們想要堅持的主題是很常見的。 但是,如果您忘記刪除不使用的那些,那麼您的站點就會面臨危險的漏洞。

    警告:請記住刪除您不使用的主題和插件。 未使用的主題和插件會使您的網站容易受到危險的攻擊。

    因此,刪除所有未使用的主題並僅保留當前正在運行的主題非常重要。

    還要確保您的主題已更新到最新版本。

    7. 您的網站上是否有不活躍的用戶?

    就像您網站上過時的插件和主題一樣,不活躍的用戶可能會被利用來攻擊您的網站。

    您是否有在您的網站上工作的支持人員,您為其創建了用戶? 繼續並刪除該用戶。 如果他們在您的網站上不活躍,則不需要用戶帳戶。

    8. 您的虛擬主機如何保護您的網站?

    由於共享託管技術,現在有比以往任何時候都多的人可以以極少的投資創建自己的網站。 這些共享託管計劃非常便宜,主要為小型網站量身定制。

    當您第一次啟動 WordPress 網站時,您可能選擇了這些共享託管計劃之一。 但是隨著您網站的發展,您的託管需求也在增長。

    提示:按季節或在您的業務發生重大變化時評估您的託管需求。

    共享主機意味著您與許多其他站點共享服務器。 您無法控制共享您的服務器的其他站點正在做什麼。 如果他們的網站之一被黑客入侵,它可能會消耗大量服務器資源。

    此問題會減慢您的網站速度並使其性能停止。

    惡意軟件感染也有可能從共享服務器上運行的其他站點傳播到您的站點。 換句話說,如果您有能力升級過去的共享主機,那麼可能是時候使用專用服務器了。

    請記住,優質託管通常不會以每月 4 美元的價格獲得。 如果您希望為您的網站供電並確保其完全安全,請查看 iThemes 提供的專用託管計劃。

    9. 您是否限制登錄嘗試?

    默認情況下,WordPress 沒有內置任何內容來限制某人可以進行的失敗登錄嘗試次數。 攻擊者可以進行的登錄嘗試失敗次數沒有限制,他們可以繼續嘗試不同用戶名和密碼的組合,直到找到有效的組合。

    通過限制登錄嘗試,您可以大大減少暴力攻擊的機會。 蠻力攻擊是指用於發現用戶名和密碼以入侵網站的反複試驗方法。 WordPress 不會跟踪任何用戶登錄活動,因此 WordPress 沒有內置任何內容來保護您免受暴力攻擊。

    好消息是您可以使用 iTheme Security 插件限制登錄嘗試。 iThemes Security Pro 本地暴力保護功能會跟踪主機或 IP 地址和用戶名進行的無效登錄嘗試。 一旦 IP 或用戶名連續進行過多次無效登錄嘗試,它們將被鎖定,並在設定的時間段內無法再進行任何嘗試。

    10.你的網站是HTTPS嗎?

    判斷您訪問的網站是否安裝了 SSL 證書的一種簡單方法是查看瀏覽器的地址欄,查看 URL 是以 HTTP 還是 HTTPS 開頭。 如果 URL 以 HTTPS 開頭,則您可以安全地瀏覽使用 SSL 的站點。

    在您的網站上擁有 SSL 證書所帶來的安全優勢足以使其成為任何網站的必備品。 然而,為了鼓勵每個人保護他們的網站訪問者,網絡瀏覽器和搜索引擎創造了負面激勵來鼓勵每個人使用 SSL。

    以下是關於什麼是 SSL 以及如何在您的站點上安裝它的更多信息。

    11. 哪些用戶可以通過 FTP/sFTP 訪問您的站點?

    FTP 或文件傳輸協議,是一種允許您將本地工作站連接到網站服務器的技術。 有了它,您可以訪問站點的所有文件夾和文件並進行必要的更改。

    由於 FTP 訪問使用戶能夠刪除和修改站點文件,因此您應該只將 FTP 訪問權限授予您信任並需要此類站點訪問權限的人。

    最好檢查您的用戶列表,然後根據需要重置 FTP 密碼。

    要更改密碼,請進入您的 WordPress 主機帳戶並導航至 cPanel > FTP 帳戶。

    請記住刪除不需要 FTP 訪問您的站點文件的任何用戶。

    12. 您是否在監控安全活動?

    監控 WordPress 站點上的安全活動是跟踪站點上可疑活動的好方法。 這就是 WordPress 安全日誌​​的用武之地。 WordPress 安全日誌​​提供有關 WordPress 網站活動的詳細數據和見解。 如果您知道要在日誌中查找什麼,就可以快速識別並阻止站點上的惡意行為。

    WordPress 安全日誌​​在您的整體安全策略中有幾個好處。 如果您的網站確實遭到黑客入侵,您將需要最好的信息來幫助進行快速調查和恢復。

    • 1. 識別並阻止惡意行為。
    • 2. 發現可以提醒您違規的活動。
    • 3. 評估造成的損害。
    • 4. 幫助修復被黑站點。

    以下是您需要使用 WordPress 安全日誌​​監控的一些活動:

    1. WordPress 蠻力攻擊– 由您來監控您的登錄安全以保護您的 WordPress 網站。 幸運的是,蠻力攻擊不是很複雜,而且很容易在您的日誌中識別。 您需要記錄嘗試登錄的用戶名和 IP 以及登錄是否成功。 如果您看到單個用戶名或 IP 連續多次嘗試登錄失敗,則您很可能受到了蠻力攻擊。
    2. 文件更改- 即使您遵循 WordPress 安全最佳實踐,您的網站仍有可能受到損害。 妥協意味著該站點發生了惡意更改,這就是為什麼通過將它們記錄在您的 WordPress 安全日誌​​中來掌握站點上的文件更改如此重要的原因。 文件更改條目包括添加和刪除的文件以及對現有文件的修改。 現在您已將更改記錄在安全日誌中,您應該安排時間對其進行審核。 如果您是 iThemes Security Pro 用戶,請記住啟用文件更改通知,以便在文件更改時收到通知。
    3. 惡意軟件掃描– 您不僅應該運行 WordPress 惡意軟件掃描,還應該在 WordPress 安全日誌​​中記錄每個惡意軟件掃描的結果。 一些安全日誌只會記錄資助惡意軟件的掃描結果,但這還不夠。 盡快收到您的站點遭到破壞的警報至關重要。 您了解黑客攻擊所需的時間越長,它造成的損害就越大。 盡快收到您的站點遭到破壞的警報至關重要。 您了解黑客攻擊所需的時間越長,它造成的損害就越大。
    4. 用戶活動– 在您的 WordPress 安全日誌​​中記錄用戶活動可能是您成功攻擊後的救命稻草。 如果您正在監控正確的用戶活動,它可以引導您完成黑客攻擊的時間線,並顯示黑客更改的所有內容,從添加新用戶到在您的網站上添加不需要的醫藥廣告。

    好消息是您可以使用 iThemes Security 等插件開始監控您網站上的安全活動。 iThemes Security 通過跟踪您網站上的這些重要事件為您完成所有工作。

    了解如何將 WordPress 安全日誌​​添加到您的網站。

    13. 您是否正在實施這些 WordPress 強化措施?

    WordPress 平台為您提供了特定的強化措施,使您的網站更安全,免受惡意黑客攻擊。

    這些措施包括:

    • 禁用插件安裝
    • 重置 WordPress 鹽和密鑰
    • 禁用主題和插件中的文件編輯器
    • 強制執行強密碼
    • 實施 2FA(雙因素授權)
    • 限制登錄嘗試

    在安全審計期間,重要的是檢查此措施列表是否完全到位。 例如,如果您使用的是限制用戶登錄嘗試並提供 2FA 的插件,請查看該插件是否仍在工作並完全是最新的。

    還要看看是否有更好或更多的當前插件選項可用。

    一些加固措施需要一些技術知識才能落實到位。 但是,如果您使用的是 iThemes Security 插件,則只需單擊幾下即可將強化措施落實到位。

    14. 你在使用 WordPress 安全插件嗎?

    審核中的最後一項也是最後一項是評估您站點上的安全插件。 此 WordPress 安全審核列表中的許多任務都可以使用 iThemes Security 等 WordPress 安全插件來完成。

    如果您沒有運行 WordPress 安全插件,請立即下載並安裝一個。 一個有效的安全插件,如 iThemes Security,可以保護您的網站免受機器人和黑客的侵害。 雖然市場上有很多不同的安全插件,但有些比其他更有效。

    看看這個有效的安全插件必須提供的功能列表:

    • 惡意軟件掃描 -熟練的黑客不斷尋找易受攻擊的插件。 使用安全插件很重要,該插件將每天掃描您的站點,同時對站點上的每個文件夾和文件(包括數據庫)進行深度檢查和掃描。
    • 場外掃描– 運行安全掃描時將使用大量資源。 如果您使用的插件利用了您的服務器,則每次掃描都可能使您的 WordPress 站點過載並使其停止運行。 找到一個安全插件,它在掃描您的網站時會使用自己的服務器。
    • 登錄保護– 黑客通常會嘗試攻擊您的 WP 登錄頁面並嘗試使用數千種用戶名和密碼組合來未經授權訪問您的網站。 這稱為暴力攻擊,您使用的安全插件要么需要阻止這些攻擊,要么需要隱藏您的登錄頁面。
    • 實時安全警報– 每當您的 WordPress 網站上出現任何可疑或惡意活動時,您的安全插件需要有效地檢測到它,然後立即通知您。 然後,您將能夠迅速採取行動來阻止任何損害。
    • 安全活動日誌- 審核日誌將跟踪每個用戶在您網站上的活動,包括誰已登錄、重複登錄嘗試失敗的詳細信息以及用戶在您的網站上執行的功能。 當您嘗試確定您的站點是如何被入侵或使用了哪些更新導致站點故障時,擁有活動日誌非常有用。

    如果您管理多個 WordPress 站點並決定使用 iThemes Security 作為您的解決方案,請確保您還下載並安裝 iThemes Sync 插件。

    例行的 WordPress 安全審計非常重要

    我們已經介紹了您應該定期執行的八項最重要的安全審計任務。 即使您正在運行安全插件,您仍然希望每三個月檢查一次此清單。

    為什麼不立即在您的日曆上添加重複提醒?

    我們相信本指南已幫助您創建了一個可以重複的過程,以跟上 WordPress 安全審核的最新情況。 如果您在輪換的基礎上保持此過程,您將大大繞過黑客可能給您的網站帶來的危險。 您是否在日曆中添加了運行安全審核的提醒?

    雖然完整的審計可能是一個漫長的過程,但它通過防止黑客入侵而節省的時間和麻煩是值得的。

    請記住下載並安裝 iThemes Security 插件,以幫助您完全自動化審核站點以確保安全的過程。 與大多數其他安全插件不同,它帶有易於理解和全面的工具套件,可以為您的站點安全做更多的事情,而不僅僅是審計。

    iThemes Security 將自動執行許多手動、繁瑣的活動,例如掃描惡意軟件、機器人保護和強化 WordPress。 您需要的所有工具都在強大的插件儀表板中。

    立即免費下載 iThemes Security

    WordPress 安全審計