WordPress 安全指南:讓 WordPress 安全 2022

已發表: 2022-02-17

想像一下:

你打開你的 WordPress 網站,眼睛明亮,尾巴濃密,並準備上傳你最新的博客文章……只是遇到一堆奇怪的內容,引導人們從粗略的網站購買藥丸。

這是大多數網站管理員最糟糕的噩夢,但它可能會發生在您的 WordPress 網站上……如果您沒有實施正確的安全最佳實踐。

我們不是想嚇唬你——WordPress安全的。 它有一個專門的安全團隊和一群知識淵博的貢獻者和開發人員來幫助保持這種狀態。

但是,如果您沒有通過遵循 WordPress 安全最佳實踐來建立這個安全基礎,那麼您可能會為惡意行為者打開大門,讓他們的毒牙進入您的網站。

在這篇文章中,我們將幫助您了解這些最佳實踐是什麼,以便您可以阻止噩夢般的場景成為現實。

為此,我們將介紹以下部分:

  • WordPress安全嗎?
  • 為什麼你不應該等待讓你的安全秩序井然
  • 現在可以為安全做的 21 件事
  • 安全漏洞的風險
  • 如何判斷您的網站是否被黑客入侵
  • 三個一流的 WordPress 安全插件
  • 要實施的三種最重要的安全策略
  • 監控和修復 WordPress 安全漏洞

雖然您可能需要幾個小時來完成這篇文章中的最佳實踐,但現在的小額投資將在未來以安全、防彈的 WordPress 網站的形式獲得回報。

WordPress安全嗎?

WordPress 為互聯網上超過 43% 的網站提供支持,這意味著它是惡意行為者的多汁目標。

WordPress 如此受歡迎的事實也意味著它被各種各樣的人使用,包括知識水平截然不同的人。 想想經驗豐富的開發人員與剛剛發布第一個博客的人……以及介於兩者之間的所有人。

這裡有好消息也有壞消息……

好消息:

WordPress安全的。 這就是為什麼它被這麼多普通人以及美國白宮和 Facebook 等大型組織使用的原因。

重視安全性的大品牌使用 WordPress

Facebook 和白宮不會將他們的網站交給一個不安全的平台。 更重要的是,如果 WordPress 不安全,互聯網上 43% 的網站將無法在 WordPress 上運行。

壞消息

很多 WordPress 網站確實被黑了。 在 Sucuri 的被黑網站報告中,WordPress 通常是被黑最多的平台(請記住——它非常受歡迎)。

那麼 – WordPress 怎樣才能安全並且網站也被黑客入侵了呢? 這些不是相互排斥的東西嗎?

嗯,答案完全在於人們如何使用 WordPress。

如果您主動遵循安全最佳實踐,就像我們將在這篇文章中介紹的那樣,您可以確保您的 WordPress 網站安全並避免出現問題。

WordPress 擁有一個大型安全機構,包括一個 50 多名成員的官方安全團隊和一系列經驗豐富的開發人員,他們構建安全擴展並標記潛在問題。

這些人在使 WordPress 安全方面做得很好——但如果你想保持這種狀態,你仍然需要儘自己的一份力量。

如果您不依靠這些 WordPress 貢獻者的辛勤工作並遵循最佳實踐,您可能會犯錯誤,從而在 WordPress 軟件中打開漏洞,無論是使用弱密碼、安裝易受攻擊的插件還是其他原因。

為什麼你不應該等待認真對待 WordPress 安全性

WordPress 安全性是那些感覺沒什麼大不了的事情之一......直到它真的很重要

在營銷和發展網站方面,您有很多事情要做,因此很容易將安全性推到後面,因為很難將安全性改進與流量或收入等增長指標聯繫起來。

我們在這裡有點直言不諱,但這種思路非常短視。 實施下面的 WordPress 安全檢查表需要一些時間,並且可能需要一點錢,但與您的網站遭到破壞時您將“支付”的費用相比,這些費用相形見絀。

一次安全漏洞很容易在損失時間、收入、SEO 流量和對訪問者的信任方面“花費”更多。

基本上,您不想以網站的安全性為賭注。 現在花時間保護自己免受日後巨額成本的影響。

關於 WordPress 安全您現在可以做的 20 件事

到目前為止,我們已經討論了理論。 現在,讓我們開始轉向一些可操作的策略來鎖定您的網站,從您現在可以實施以保護您的網站的 WordPress 安全清單開始

1. 了解基本的 WordPress 安全主題

在更改您網站上的任何內容之前,您需要了解 WordPress 安全性的基本主題:

  • 限制訪問——通過預期的方法(用戶帳戶)和非預期的方法(漏洞)限制對您網站的訪問。
  • 包含問題——如果惡意行為者確實獲得了訪問權限,您希望限制他們可以造成的損害。
  • 僅使用受信任的第三方——雖然 WordPress 核心是安全的,但您添加到站點的每個擴展都是一個潛在的漏洞。

2. 及時應用 WordPress 更新

為了保護您的網站免受新出現的安全漏洞的影響,及時應用 WordPress 核心更新、插件更新和主題更新至關重要。 對於安全更新尤其如此,您應該立即應用它*。

*安全更新在版本號中有兩個點——例如 5.9.1。 您可以等待應用主要功能更新,這些更新只有一個點——例如 5.9。

3. 對所有內容使用強密碼

為您的 WordPress 管理員帳戶、主機帳戶和其他工具(例如 SFTP 憑據)使用強而唯一的密碼可以大大有助於防止暴力攻擊和其他類型的基於登錄的攻擊。

要安全地存儲密碼,您可以使用密碼管理器,例如 Bitwarden 或 LastPass。 這些密碼管理器還可以幫助您生成唯一密碼。

4. 使用受信任的插件

僅安裝來自仍在積極維護插件的受信任開發人員的插件,以解決新的 WordPress 版本和新發現的漏洞。

5. 保護您的計算機

確保用於訪問 WordPress 站點的計算機是乾淨的。 使用優質的防病毒軟件並定期執行惡意軟件掃描。

6.鎖定您的登錄頁面

除了使用強密碼外,您還可以使用限制登錄嘗試和雙重身份驗證等策略來保護您的登錄頁面。 您可以使用免費的特定於功能的插件來完成此操作,例如重新加載限制登錄嘗試和兩因素身份驗證。 或者,您可以使用我們將在本文後面討論的一些廣泛的 WordPress 安全插件。

您還可以更改 WordPress 登錄 URL。 雖然如果您實施上述提示,這不會增加太多額外的登錄安全性,但它可以減少機器人流量。

7. 定期備份

定期備份並將它們存儲在很長的地方是 WordPress 安全性的一個重要因素。 如果您有最近的備份,那麼當涉及到您的站點數據時,最壞情況下的安全漏洞會帶來不便,而不是災難。

如今,大多數託管 WordPress 主機都提供自動異地備份。 如果沒有,您可以使用像 UpdraftPlus 這樣的插件。

8. 使用安全託管

使用實施可靠安全協議(如防火牆和惡意軟件掃描)的高質量 WordPress 主機。 雖然您不應該只依賴您的主機,但優質的 WordPress 主機可以在保護您的 WordPress 網站方面大有幫助。

9. 安裝 SSL 證書並使用 HTTPS

確保您已安裝 SSL 證書並設置您的站點以強制所有流量到安全的 HTTPS 版本。 這可確保在訪問者的 Web 瀏覽器和您網站的服務器之間傳遞的任何數據都是加密的。

您可以諮詢主機的支持團隊或文檔以了解如何安裝 SSL 證書和插件,如真正簡單的 SSL 可以幫助您在您的網站上強制使用 HTTPS 流量。

10. 使用 SFTP,不要存儲密碼

確保在連接到站點的服務器時使用 SFTP,而不是普通的 FTP(未加密)。 此外,盡量避免將 SFTP 密碼存儲在 FTP 客戶端中,除非它們已加密並受密碼保護。

11. 禁用 XML-RPC

XML-RPC 幫助某些應用程序(例如 iPhone 應用程序)連接到您的 WordPress 站點。 大多數人永遠不會使用這些應用程序進行連接,這意味著 XML-RPC 只是暴力或 DDoS 攻擊的不必要的漏洞向量。

出於這個原因,大多數人禁用 XML-RPC,您可以使用 Disable XML-RPC 之類的插件或我們稍後將討論的通用安全插件之一來完成。

12.禁用文件編輯

默認情況下,WordPress 允許管理員用戶直接從 WordPress 儀表板編輯主題和插件文件,如果惡意行為者訪問您的儀表板,這是一個巨大的漏洞。

您可以通過在wp-config.php文件中添加一行來禁用它。

13. 監控安全問題

制定定期安全監控策略可以幫助您在問題變得更大之前發現問題。 我們將在本文後面討論適當的監控實踐。

14. 安全密鑰 WordPress 文件和文件夾

一些 WordPress 文件和文件夾特別容易受到攻擊,因此您需要特別注意保護wp-config.php文件以及wp-adminwp-includes文件夾。

15. 實施適當的文件權限

文件權限控制用戶和程序對託管服務器上的文件和文件夾的訪問權限。 如果它們配置不正確,它們可以讓惡意行為者訪問重要文件,例如您的wp-config.php文件或.htaccess文件。

要了解 WordPress 的正確權限,您可以閱讀此 WordPress.org 頁面。

16.考慮活動記錄

活動記錄可讓您跟踪網站上發生的事情,這可以幫助您在可疑行為成為主要問題之前發現它。

要設置活動日誌記錄,您可以使用專門的插件,例如 WP Activity Log。 或者,一些通用的 WordPress 安全插件還包括日誌記錄功能。

17. 添加最新的安全標頭

HTTP 安全標頭可以通過控制 Web 瀏覽器與您網站內容的交互方式來幫助保護您的網站。 您通常會在服務器級別配置這些 - KeyCDN 有一篇很棒的文章解釋了最重要的安全標頭。

18. 保護您的數據庫

使用唯一的數據庫表前綴和唯一的數據庫名稱可以使惡意行為者稍微難以將惡意內容注入到您的數據庫中,儘管一些專家對其有用性存在爭議。 鑑於此更改很容易應用,即使是少量的“默默無聞的安全性”,它仍然是值得的。

19.禁用盜鏈

讓其他站點對您的圖像進行熱鏈接可能不會帶來直接的安全風險,但它可能會對您的服務器產生負面影響,從而浪費資源,因此禁用熱鏈接是一種很好的安全做法。

20. 提前設置 DDoS 防護

制定處理分佈式拒絕服務攻擊的計劃。 您可以詢問您的主機他們有哪些保護措施,或者將您的站點添加到 Cloudflare,以便您可以在需要時快速啟用 Cloudflare 的“我受到攻擊”模式。

網站被入侵時有哪些風險?

如果您的網站遭到破壞,則存在三種主要風險......

網絡訪問者面臨的風險

如果您存儲有關訪問者的數據,惡意行為者可能會訪問所有這些信息,這可能會導致身份盜竊或財務盜竊問題,具體取決於您存儲的數據。

惡意行為者還可能試圖誘騙用戶下載惡意文件並感染他們的計算機。

網站所有者面臨的風險

安全漏洞可能會導致數據丟失、時間浪費和站點不可用等形式的直接問題。 如果您不維護定期備份(希望在您閱讀本指南後不會出現這種情況),您甚至可能會丟失整個站點並需要從頭開始重建。

違規還可能導致不太明顯的問題,例如對訪問者失去信任或一般聲譽受損。

對其他網站的風險

如果您使用共享主機和/或在同一個主機帳戶上託管您的一些其他網站,如果這些網站彼此之間沒有緊密隔離,那麼一個被入侵的網站可能會迅速傳播到其他網站。 通過這種方式,感染一個站點可以像多米諾骨牌一樣摧毀其他站點,即使這些站點本來是安全的。

如何判斷您的 WordPress 網站是否被黑客入侵

有兩種方法可以發現您的網站已被黑客入侵:

  • 反應性跡象——您發現問題是因為您在網站上看到了問題。
  • 主動跡象——您的安全監控協議會在問題出現在您的站點之前向您發出警報。

理想情況下,您希望使用可讓您主動解決問題的工具,而不是等待它們成為問題。 這樣,您可以最大限度地減少對您網站的損害。

黑客的反應跡象

  • 瀏覽器警報——如果您訪問受感染的頁面,大多數瀏覽器都會顯示警告。 如果在您訪問自己的網站時發生這種情況,您就知道您遇到了問題。
  • 搜索引擎警報——如果訪問者點擊了指向受感染網站的鏈接,谷歌也會提醒他們。 上面寫著“這個網站可能被黑了”。
  • 網站管理員服務– 如果您使用 Google Search Console,如果您轉到安全和手動操作 → 安全問題,Google 會提醒您安全問題
  • 網絡訪問者——如果網絡訪問者遇到惡意內容,他們可能會直接告訴您。
如果網站感染了惡意軟件,谷歌瀏覽器會顯示警告

黑客攻擊的主動跡象

  • 惡意軟件掃描程序- 惡意軟件掃描程序可以檢測到您服務器上的惡意代碼,即使它尚未開始影響您網站的前端。
  • 文件完整性檢查——如果核心 WordPress 文件與官方版本不匹配,則表明您的網站可能有問題。 如果核心文件被修改,大多數安全插件會自動提醒您。
  • 流量監控器——監控您的 WordPress 網站的流量將幫助您在發生違規行為時發現它們。
Wordfence 插件提供 WordPress 安全掃描

三個最佳 WordPress 安全插件和工具

如果您希望在 WordPress 安全方面更加安心,您可以考慮使用專用的 WordPress 安全插件或服務。

雖然這些工具並不能完全消除保持警惕的需要,但它們可以為您處理大多數WordPress 安全最佳實踐。

以下是三個最好的:

1. Wordfence

Wordfence 是最好的 WordPress 安全插件之一

Wordfence 是 WordPress.org 上最受歡迎的 WordPress 安全插件。 它具有全面的功能集,可以保護和監控站點安全的所有區域:

  • Web 應用程序防火牆 (WAF)在威脅損害您的站點之前主動阻止它們。 包括一組不斷更新的定義以阻止新出現的威脅。
  • 惡意軟件和安全掃描以檢測感染或安全漏洞。
  • 登錄安全功能包括限制登錄嘗試、雙重身份驗證、洩露密碼保護、XML-RPC 禁用/強化等。
  • 實時記錄以檢測惡意行為者。
  • 通知可立即提醒您網站上的潛在問題。
  • 許多其他較小的強化策略,包括文件更改檢測。
  • 中央安全儀表板,可讓您從一處管理多個站點的安全性。

WordPress.org 上有免費版本,Wordfence Premium 起價 99 美元。

2. 蘇庫裡

Sucuri 是一個插件和防火牆

Sucuri是兩件事:

  1. WordPress.org 上實現基本安全強化實踐的免費插件。
  2. 一種付費防火牆服務,位於您的服務器前,可在惡意流量到達您的站點之前阻止它。

為了獲得最佳保護,您需要同時使用這兩種工具。

免費的 Sucuri 插件實現了以下安全強化功能:

  • 文件完整性監控
  • 審核日誌
  • 自動黑名單監控
  • 基本的強化選項,例如禁用文件編輯和阻止某些 PHP 文件
  • 登錄監控失敗以檢測暴力攻擊
  • 通過電子郵件自動發出安全警報

要使用防火牆服務,您需要將域的名稱服務器更改為 Sucuri,Sucuri 的防火牆將在網絡級別保護您的站點。

Sucuri 插件是免費的,但防火牆的起價為每月 10 美元。 您還可以支付完整的網站安全計劃,其中包括惡意軟件清理和刪除。 這些計劃起價為每年 200 美元。

3. iThemes 安全性

適用於 WordPress 的 iThemes 安全專業版

iThemes Security 是另一種流行的工具,可以幫助您強化網站並監控它的安全問題。

以下是它可以提供的幫助:

  • 站點掃描程序將自動檢測您站點上的已知漏洞。
  • 登錄保護包括雙重身份驗證、限制登錄嘗試、受信任的設備、強密碼要求等。
  • 安全日誌包括安全事件日誌和用戶活動日誌。
  • 文件更改檢測以查看核心文件是否已被修改。
  • 電子郵件通知可立即提醒您潛在的安全問題。
  • 常規 WordPress 加固包括禁用 XML-RPC、禁用文件編輯、文件權限檢查等。

iThemes Security提供的一項功能是防火牆——如果您需要防火牆,開發人員建議將其與 Sucuri 的防火牆服務配對。

雖然 WordPress.org 上有 iThemes Security 的有限免費版本,但您需要 iThemes Security Pro 以獲得最佳保護。 它的起價為 80 美元。

關注這三件事以獲得最大的 WordPress 安全投資回報率

就像生活中的很多事情一樣,WordPress 安全遵循 80/20 Pareto 原則。 也就是說,專注於製定一些基本的 WordPress 安全策略將使您獲得安全網站的大部分途徑。

因此,雖然我們當然認為遵循我們在上面分享的 WordPress 安全檢查表很重要,但只關註三個方面將保護您免受 WordPress 安全性的大多數問題的影響。

讓我們來看看它們……

1. 插件

雖然 WordPress 核心軟件是安全的(只要您保持更新),但插件會引入核心團隊無法控制的變量,這使得它們成為惡意行為者的最大攻擊媒介之一。

但是,插件也是 WordPress 的重要組成部分,因此不使用它們不是一個現實的選擇。

以下三種方法可以繼續從插件中受益,同時大大降低您的風險:

  • 避免廢棄的插件——如果不再維護一個插件,這意味著沒有人可以修復新發現的問題並使其與新版本的 WordPress 兼容。
  • 只從信譽良好的開發人員那裡購買– 使用像 HeroThemes 這樣遵循 WordPress 安全最佳實踐並隨時掌握新興威脅的值得信賴的開發人員。
  • 定期更新——即使是來自最好的開發人員的最好的插件有時也會有新發現的漏洞。 只要您及時更新,質量開發人員將在這些漏洞成為問題之前對其進行修補。

2.蠻力攻擊

蠻力攻擊是一種常見的攻擊媒介,它依賴於通過登錄頁面進入您的網站。 您網站的其餘部分有多安全並不重要——如果惡意行為者能夠猜出您的用戶名和密碼,他們就擁有前門的鑰匙。

以下是如何保護自己:

  • 使用強而獨特的密碼——為您的所有帳戶選擇一個強密碼,不要在多個地方重複使用相同的密碼。
  • 限制登錄嘗試- 通過限制失敗的登錄嘗試和/或添加驗證碼來阻止人們暴力破解您的登錄頁面。
  • 考慮雙重身份驗證——為了更加安全,您可以考慮通過 SMS 或理想情況下智能手機應用程序或硬件密鑰使用雙重身份驗證。
  • 唯一的用戶名——不要使用“admin”作為您的用戶名,並嘗試讓您的用戶名難以猜測。
在 WordPress 上限制登錄嘗試的示例

3. 託管賬戶

您的 WordPress 網站可能被完全鎖定; 但是,如果惡意行為者可以訪問您的託管帳戶,他們幾乎可以對您的網站做任何他們想做的事情。

要阻止這種情況,還必須鎖定您的託管帳戶和服務器:

  • 使用強密碼- 與您的 WordPress 帳戶一樣,為您的主機和 SFTP 帳戶使用強而獨特的密碼。
  • 啟用雙重身份驗證——大多數託管服務提供商都支持雙重身份驗證——利用它。
  • 使用 SFTP – 始終通過 SFTP 而不是未加密的 FTP 連接。
  • 不要存儲 SFTP 密碼——不要在您的 FTP 客戶端中存儲未加密的 SFTP 密碼。

監控、識別和修復 WordPress 安全漏洞

如果您實施了上述所有 WordPress 安全策略,則希望您永遠不必處理安全漏洞。

但是,某些東西總是有可能從裂縫中溜走,這就是為什麼制定計劃來檢測和修復安全問題很重要的原因。

監控漏洞

  • 掃描您的網站- 使用 Sucuri SiteCheck 等工具捕獲黑名單問題並使用安全插件掃描您的服務器。
  • Google Search Console – 注意安全問題部分的警告。
  • 在搜索中使用 Google 站點命令- 搜索 site:yoursite.com 以查看 Google 是否已將看似惡意的內容編入索引。 這可能是您沒有創建的內容或帶有奇怪標題/元描述的內容。
  • 活動日誌- 瀏覽您網站的活動日誌以捕獲可疑活動。
  • 檢查分析——在您的流量分析中尋找無法解釋的低谷或高峰。
  • .htaccess 文件——注意對 .htaccess 文件的更改,因為許多參與者會在此處放置惡意重定向或設置用戶代理規則以向人類訪問者隱藏他們的 SEO 垃圾郵件。
Sucuri SiteCheck 中的黑名單檢查示例

識別問題

一旦您的監控工作檢測到出現問題,就該確定您網站上的具體問題,以便您可以修復它並讓您的網站正常運行。 為此,您可以使用安全插件來掃描您的站點並識別惡意文件和後門程序。

修復您的網站

一旦您確定了具體問題,就該修復您的網站了。

根據感染的嚴重程度和您的知識水平,您可以在這裡採取幾種不同的途徑:

  • 使用安全插件——許多安全插件通過清理文件或將您的站點回滾到干淨版本來提供一鍵修復。
  • 聘請專家——如果您感到不知所措,您可以支付專家服務費用,例如 Sucuri 的網站安全或 Wordfence 網站清潔服務。
  • 執行手動清理——如果你有技術知識,你可以手動清理你的站點——MalCare 有關於如何執行手動清理的詳細指南。

如果您的網站已被 Google 列入黑名單,您還需要在清理網站後請求審核。 您可以從 Google Search Console 的安全問題部分執行此操作。

保持您的 WordPress 網站安全

WordPress安全的,但人們使用 WordPress 的方式並不總是安全的。

現在花一點時間來為 WordPress 安全創建一個積極的計劃將以安全站點的形式獲得紅利,並避免將來需要處理違規行為。

您可以實施這篇文章中的提示並遵循 WordPress 安全清單,例如 Wordfence 的清單。 如果您需要幫助,您還可以從開發人員那裡獲得幫助或聘請 WordPress 維護服務。

WordPress 安全性也不是您一個人在做的事情。您的網站上有整個 WordPress 社區,可以幫助您創建更安全的網站。

在 HeroThemes,我們專注於創建安全、可靠的插件和主題,讓您在擴展您的 WordPress 網站的同時保持其安全。 有很多其他開發人員也在做同樣的事情。

如果您堅持使用此類擴展並遵循其他安全最佳實踐,您可以享受安全 WordPress 網站的好處。