十大 WordPress 安全錯誤以及如何避免它們

WordPress 安全錯誤很容易犯。 WordPress 安全中最常見的錯誤可能是基於過時的信息、常見的 WordPress 安全神話或只是不知道 WordPress 安全最佳實踐。

雖然 WordPress 本身是安全的，但避免 WordPress 安全錯誤需要網站所有者的一些努力。 在這篇文章中，我們將介紹 10 大 WordPress 安全錯誤以及如何避免它們的提示。

讓我們深入了解。我們將涵蓋從 WordPress 主機質量到 WordPress 管理員登錄再到您使用的主題和插件的所有內容。

1. 選擇糟糕的主機

並非所有的網絡主機都是平​​等的，從長遠來看，僅根據價格選擇一個主機可能會因 WordPress 安全錯誤而使您付出更多代價。

大多數共享主機環境是安全的，但有些沒有正確分離用戶帳戶。 如果用戶帳戶沒有正確分離，一個被盜用的帳戶可能會關閉該共享服務器上的每個網站。

您的主機應該警惕應用最新的安全補丁並遵循與服務器和文件安全相關的其他重要的主機安全最佳實踐。

如何避免選擇糟糕的主機

為您的網站選擇信譽良好且安全記錄可靠的主機。

查看 iThemes Hosting 以獲取您可以信任的託管服務提供商。

2. 沒有 WordPress 備份計劃

備份和安全聽起來並不真正相關。 但請相信我們，在勒索軟件攻擊後備份您的 WordPress 網站確實可以節省您的精力。

勒索軟件攻擊是指黑客加密您網站的文件，使它們和您的網站無法訪問。 要重新訪問您的網站，您需要一個密鑰來解密文件。 支付高額費用，黑客將非常樂意為您提供密鑰。

備份您的 WordPress 網站可讓您將網站回滾到網站被勒索贖金之前的狀態。 您無需支付所需的贖金即可重新訪問您的網站。 #培根保存

如何避免沒有網站備份

創建計劃以定期備份您的網站。

BackupBuddy，我們的 WordPress 備份插件，是我們推薦的 WordPress 備份工具。 使用 BackupBuddy，您可以為 5 種類型的 WordPress 備份設置備份計劃，以便您的備份自動運行。 那是安心。

3. 不安全的登錄

WordPress 登錄是任何 WordPress 站點中受攻擊最多、也可能最容易受到攻擊的部分。 默認情況下，WordPress 沒有內置任何內容來限制某人可以進行的失敗登錄嘗試次數。 攻擊者可以進行的登錄嘗試失敗次數沒有限制，他們可以不斷嘗試無數的用戶名和密碼，直到成功。

您的 WordPress 登錄很像您家的前門。 如果你的前門沒有鎖，任何人都很容易走進你的家，開始移動你的家具，砸你的東西，偷你的電視。 只有在你的前門加一把鎖才能讓潛在的小偷更難闖入你的家才有意義。

如何避免不安全的登錄

使用 WordPress 安全插件來限制無效的登錄嘗試。

iThemes Security Pro 本地暴力保護功能會跟踪主機或 IP 地址和用戶名進行的無效登錄嘗試。 一旦 IP 或用戶名連續多次嘗試無效登錄，它們將被鎖定並阻止再次嘗試。

4. 沒有針對自動機器人攻擊的保護

機器人是一種經過編程以執行特定任務列表的軟件。 開發人員創建一組指令，機器人將自動遵循這些指令，而無需開發人員告訴他們開始。 機器人將比我們更快地執行重複和平凡的任務。

其中一些機器人被編程為具有邪惡的動機，例如：

蠻力機器人在互聯網上搜索 WordPress 登錄名以進行攻擊。

內容抓取機器人被編程為在未經您許可的情況下下載您網站的內容。 機器人可以復制內容以在攻擊者的網站上使用，以提高他們的 SEO 並竊取您的網站流量。

垃圾郵件機器人通過承諾在家工作時成為百萬富翁來破壞您的評論，希望將您的訪問者發送到惡意網站。

如何避免自動機器人攻擊

通過在您的網站上使用自動機器人保護（如 Google reCAPTCHA）來避免此 WordPress 安全錯誤。

iThemes Security Pro 中的 Google reCAPTCHA 功能可保護您的網站免受惡意機器人的侵害。 reCAPTCHA 使用先進的風險分析技術來區分人類和機器人。 一旦發現壞機器人，它將從您的網站啟動。

5. 使用易受攻擊的插件、主題或 WordPress 核心版本

易受攻擊的 WordPress 插件或主題是您可能犯的最大的 WordPress 安全錯誤。 保持軟件更新是任何安全策略的重要組成部分，這包括 WordPress 核心以及您的主題和插件。 版本更新不僅僅用於錯誤修復和新功能。 更新還可以包括關鍵的安全補丁。 如果沒有該補丁，您的手機、計算機、服務器、路由器或網站很容易受到攻擊。

黑客以修補漏洞為目標，因為他們知道人們不會更新（包括您網站上的插件和主題）。 在修補漏洞之日公開披露漏洞是行業標準。 公開披露漏洞後，該漏洞將成為軟件過時和未修補版本的“已知漏洞”。 具有已知漏洞的軟件很容易成為黑客的目標。

黑客喜歡簡單的目標。 擁有具有已知漏洞的過時軟件就像向黑客提供分步說明以闖入您的 WordPress 網站。

擁有一個有補丁但未應用的易受攻擊的插件或主題是被黑 WordPress 網站的罪魁禍首。

如何避免使用易受攻擊的插件和主題

保持所有插件和主題更新以避免易受攻擊軟件的 WordPress 安全錯誤。

使用 iThemes Security Pro 站點掃描。 站點掃描會自動檢查您站點上安裝的已知漏洞。 如果有補丁可用，iThemes Security Pro 會自動為您應用修復。

6. 弱用戶安全

弱用戶安全是一個主要的 WordPress 安全錯誤。 簡而言之：使用弱密碼的單個 WordPress 管理員用戶可能會破壞您已實施的所有其他網站安全措施。 這就是為什麼用戶安全是任何 WordPress 安全策略的重要組成部分。

根據 Verizon 數據洩露調查報告，超過 70% 的員工在工作中重複使用密碼。 但報告中最重要的統計數據是“81% 的與黑客相關的違規行為利用了被盜密碼或弱密碼。”

在 Splash Data 編制的列表中，所有數據轉儲中包含的最常見密碼是 123456。數據轉儲是一個被黑的數據庫，其中填充了在互聯網上某處轉儲的用戶密碼。 如果 123456 是數據轉儲中最常見的密碼，您能想像您網站上有多少人使用弱密碼嗎？

黑客的工具越來越好，他們可以比以往更快地繞過密碼。 例如，讓我們看一下由高性能密碼破解公司 Terahash 創建的圖表。 他們的圖表顯示了使用 448x RTX 2080 的哈希堆棧集群破解密碼所需的時間。

默認情況下，WordPress 使用 MD5 來散列存儲在 WP 數據庫中的用戶密碼。 因此，根據此圖表，Terahash 幾乎可以立即破解 8 個字符的密碼。 這不僅令人印象深刻，而且非常可怕。

更糟糕的是，儘管 91% 的人知道重複使用密碼是不好的做法，但仍有 59% 的人在任何地方重複使用他們的密碼！ 這些人中的許多人仍在使用他們知道出現在數據庫轉儲中的密碼。

黑客使用一種稱為字典攻擊的蠻力攻擊形式。 字典攻擊是一種使用出現在數據庫轉儲中的常用密碼闖入 WordPress 網站的方法。 “系列#1？ 託管在 MEGA 託管的數據洩露包括 1,160,253,228 種獨特的電子郵件地址和密碼組合。 那是一個 b 的十億。 這種分數確實有助於字典攻擊縮小最常用的 WordPress 密碼的範圍。

如何避免弱用戶安全

避免用戶安全性較弱的 WordPress 安全錯誤的最佳方法是創建強密碼策略並使用雙因素身份驗證。

iThemes Security Pro 密碼要求功能允許強制用戶組成員使用強密碼、選擇密碼過期時間、拒絕密碼洩露以及強制更改站點範圍的密碼，以使每個人都遵守新的強密碼策略。

雙因素身份驗證是通過需要兩種不同的驗證方法來驗證個人身份的過程。 谷歌在其博客上分享說，使用雙因素身份驗證可以阻止 100% 的自動機器人攻擊。

在您的網站上實施 2fa 時， iThemes Security Pro 兩因素身份驗證功能提供了極大的靈活性。 您可以為所有或部分用戶啟用雙重驗證，並且可以強制高級用戶在每次登錄時使用 2fa。

7. 未加密通信（無 SSL）

不加密您網站上的通信是一個嚴重的 WordPress 安全錯誤。 每當我們進行在線購買時，您的瀏覽器和在線商店之間都會進行通信。 例如，當我們在瀏覽器中輸入信用卡號時，瀏覽器將與在線商店共享該號碼。 商店收到付款後，它會告訴您的瀏覽器讓您知道購買成功。

關於我們的瀏覽器和商店服務器之間共享的信息，需要記住的一件事是信息在傳輸過程中會經過多次停靠。 如果通信未加密，黑客可能會在信用卡到達商店服務器的最終目的地之前竊取我們的信用卡。

為了更好地了解加密的工作原理，請考慮我們的購買是如何交付的。 如果您曾經跟踪過在線購買的交付狀態，您就會發現您的訂單在到達您家之前停了幾次。 如果賣家沒有正確包裝您購買的商品，人們很容易看到您購買的商品。

如何避免未加密的通信

您將需要 SSL 證書來加密您網站上的通信。 如果您的 WordPress 網站缺少 SSL，您應該做的第一件事就是詢問您的託管服務提供商，看看他們是否提供免費的 SSL 證書和配置。

Cloudflare 為 WordPress 網站提供免費的共享 SSL 證書。 如果您不想擁有共享的 SSL 證書並且您對命令行感到滿意，那麼 CertBot 是一個很好的選擇。 Certbot 不僅會使用 Let's Encrypt 為您創建免費的 SSL 證書，還會自動為您管理證書的更新。

8. 安全日誌​​和監控不足

網站上的登錄不足是一個足夠大的 WordPress 安全錯誤，它登上了 OWASP 前 10 名的 Web 應用程序安全風險。 日誌記錄是 WordPress 安全策略的重要組成部分。 監控正確的行為將幫助您識別和阻止攻擊、檢測漏洞以及訪問和修復成功攻擊後對您的網站造成的損害。

日誌記錄和監控不足會導致檢測安全漏洞的延遲。 大多數違規研究表明，檢測違規的時間超過 200 天！ 這段時間允許攻擊者破壞其他系統、修改、竊取或破壞更多數據。

如何避免記錄不足

將安全日誌添加到您的網站以避免此 WordPress 安全錯誤。 您可以使用 WordPress 提供的一些開發人員功能和過濾器來創建日誌系統，但啟動安全日誌的最簡單方法是安裝 WordPress 安全插件

iThemes Security Pro WordPress 安全日誌​​會自動監控和記錄您網站上發生的關鍵安全事件。

9. 未使用的插件和主題

在您的網站上放置未使用或不活動的插件和主題是 WordPress 的一個主要安全錯誤。 您網站上的每一段代碼都是黑客的潛在切入點。

開發人員在他們的插件和主題中使用第三方代碼（如 JS 庫）是常見的做法。 不幸的是，如果這些庫沒有得到妥善維護，它們可能會產生攻擊者可以利用的漏洞來入侵您的網站。

如何避免插件和主題

卸載並完全刪除 WordPress 網站上任何不必要的插件和主題，以限製網站上的訪問點和可執行代碼的數量。

此外，避免使用廢棄的 WordPress 插件。 如果您的 WordPress 網站上安裝的任何插件在六個月或更長時間內未收到更新。

10. 從不受信任的來源安裝軟件

從不受信任的來源安裝軟件是造成 WordPress 安全錯誤的快速方法之一。 您應該警惕商業插件的“無效”版本。 通常，這些免費或大打折扣的專業插件版本包含惡意代碼。

如果您是安裝惡意軟件的人，那麼您如何鎖定 WordPress 網站並不重要。

如何避免來自不受信任來源的軟件

您應該只安裝從 WordPress.org、知名商業存儲庫或直接從信譽良好的開發人員那裡獲得的軟件。

如果 WordPress 插件或主題未在開發人員的網站上分發，則您需要在下載插件之前進行盡職調查。 聯繫開發人員，看看他們是否與以免費或折扣價提供其產品的網站有任何關聯。

總結：解釋 10 大 WordPress 安全錯誤

正如我們所看到的，有很多潛在的 WordPress 安全錯誤。 幸運的是，只要我們稍加努力，就可以輕鬆避免所有安全錯誤。

一個簡單的 WordPress 安全檢查表

大多數 WordPress 安全漏洞可以通過對 WordPress 安全採取主動方法來緩解。 回顧一下，這裡有一個簡單的 WordPress 安全檢查清單：

• 1.選擇優質主機。
• 2. 創建備份計劃。
• 3. 限制無效登錄嘗試
• 4. 添加自動機器人保護。
• 5. 避免使用易受攻擊的軟件。
• 6. 使用強密碼和 2fa。
• 7. 使用 SSL 加密通信。
• 8. 添加WordPress安全日誌。
• 9. 刪除未使用的插件和主題。
• 10. 只安裝來自可信來源的軟件。

獲取 iThemes 安全專業版

邁克爾·摩爾

每週，Michael 都會匯總 WordPress 漏洞報告，以幫助確保您的網站安全。 作為 iThemes 的產品經理，他幫助我們繼續改進 iThemes 產品陣容。 他是一個巨大的書呆子，喜歡學習所有新舊技術。 你可以找到邁克爾和他的妻子和女兒一起出去玩，在不工作的時候閱讀或聽音樂。