六大WordPress安全威胁及其解决方案

已发表: 2020-12-16

WordPress是当今最受欢迎的内容管理系统(CMS)! 作为收视率最高的CMS,WordPress支持着34%的互联网。 这是一个具有强大扩展功能的智能平台,可帮助网站所有者自定义其网站。

换句话说,WordPress在CMS领域占主导地位! 但是,与其他所有CMS一样,如果维护不当,WordPress可能容易受到Web安全威胁的攻击。

在本文中,您将了解CMS面临的最新Web安全威胁,以及如何以WordPress网站所有者的身份应对这些威胁。

1.未更新的软件及其基础架构

WordPress安全性的一个常见问题是弱的和未更新的代码框架中的人为错误,这可能会导致安全漏洞和错误。

尽管事实是,大多数WordPress安全问题都是在使用较旧的WordPress版本,未更新的插件或包含严重漏洞的错误编码主题时发生的。 WordPress版本,插件或主题过时,可能会使您容易受到攻击。

值得庆幸的是,当出现主要的WordPress安全问题时,WordPress安全团队可以解决这些问题。 该团队还不断更新Core,并在需要时发布安全补丁。

WordPress提供了主题和插件安全指南,可帮助开发人员编写安全代码。 它们可以帮助您保护代码以及可能受编写不良代码影响的所有内容。

这就是为什么运行最新版本的WordPress及其附带的软件至关重要的原因。 更新将显示在您的仪表板上。

WordPress更新

图片来源:WordPress.org

关于更新,可以通过使用合适的托管服务提供商来完成很多工作。 我们托管的WordPress托管合作伙伴Pagely对Core和插件进行自动更新。 他们的系统使网站保持更新,安全和无缝运行。

Pagely不会急着进行重大更新。 自发布新版本以来,他们通常需要等待两到五个星期。 如果需要,这为开发人员提供了足够的时间来更新其核心版本。

通常,主要WP版本在此处和此处均包含一些错误,在后续的次要版本中已对其进行了纠正。

2.写得不好的插件

就像Core一样,每个WordPress插件都应接受安全控制。 但是,并非总是如此。 有免费提供的零散的“高级”主题和插件,或者在Themeforest等地方出售。 就像在CD盗版时代一样,这些“漏洞”可以通过恶意代码感染您的系统。

在WPScan漏洞数据库中,您将找到已确认漏洞和安全问题的插件。

谁创建这些加载项?

开发人员创建插件以使整个WP社区变得更美好。 但是,在某些情况下,人们会分发受感染的流行插件版本。 如果有人欢迎您安装插件,要容易得多。

如果没有有关发布插件的开发人员的信息,请不要信任他们。 他们提供的插件可能会严重破坏您的网站。

绑架您的网站

劫持您的网站是恶意附件可能导致的最糟糕的事情之一。 它可以通过多种方式来完成,例如,将各种函数挂接到每次加载页面时都会执行的“ wp_head”动作。

可疑支持和更新

想象一下遇到问题,必须在没有任何适当支持的情况下进行处理。 如果您不使用信誉良好的发行商的插件,就会发生这种情况。 主要插件警告标志是:

  • 差评:这些天,评级和评论至关重要。 考虑一下诸如Airbnb或Booking之类的网站,这些网站的不良评分可能会有害。 WordPress插件及其等级也是如此。
  • 有问题的代码:检查代码,并确保所有内容均符合预期。 如果您不够技术,则需要联系专家进行此操作。 这就像购买汽车零件,不知道它是否适合汽车。 最好先问一下机械师。
  • 下载次数:大量的安装和良好的评级通常意味着该插件非常出色。 除非,当然,除非它是一个很少使用的利基插件,而且做一些奇怪的事情并且不需要不断更新。
  • 没有文档:某人至少可以做的是提供屏幕截图或常见问题解答。 如果不可用,请不要下载插件。
  • 版本不兼容:请注意插件是否与您的WordPress版本兼容。
  • 不支持:在支持论坛中检查插件开发人员的响应。 如果他们没有提供具体答案,那不是一个积极的信号。

3. SQL注入

WordPress网站可能发生的最有害的事情之一是SQL(结构化查询语言)注入。

它是由于用户输入处理不当而导致的。 通过在HTML文档的输入标签中插入代码段,它会攻击相应的数据库。 通过修改输入标签,黑客可以运行SQL命令并修改数据库。

发生这种情况的原因是WordPress网站中存在各种直接入口点。 其中包括注册,登录和联系表单,搜索字段以及购物车。

例如,您有一个联系表,用户必须在其中输入他们的电话号码才能向您发送消息。 该字段应具有定义的数字限制和格式。 没有经验的开发人员可能会将字段设置为纯文本。 这为任何人插入恶意代码串开辟了道路。

WordPress核心不受SQL注入的直接影响。 但是,早在2017年,出现了一个补丁程序来停止可能影响WordPress插件和主题的SQL注入。 但是,仍无法完全摆脱这种威胁。

您可以通过以下做法降低SQL注入的风险。

定期更新

注意WordPress更新。 更新不仅涉及WordPress核心。 您还应确保基础服务器软件也已更新。

始终在最新版本的PHP上运行您的网站! PHP内部团队成功创建了迄今为止最快的PHP版本。 升级也将为您和您的访客提高网站的速度。

使用可靠的插件

您的联系方式,登录名和注册表至关重要。 使用所有可用的插件,通常很难选择合适的插件。 请遵守我们上面提到的插件建议。 在下载插件之前,请始终检查插件是否存在以前的漏洞和补丁。

限制字段​​输入

限制可以在字段中输入的数据类型。 例如,名称字段应仅允许字母输入。 电话或付款数据字段不应包含字母或特殊字符。 这样可以减少数据验证和后端清理不足的风险。

更改数据库前缀

更改标准WordPress数据库前缀。 默认情况下,WordPress数据库的前缀应为“ wp_”。一旦执行SQL注入,此前缀即可允许执行自动脚本。 更改前缀不允许注入影响您的数据,并最终–保护您的网站。

4.公开的登录做法

默认情况下,WordPress不会限制登录尝试。 这就是为什么机器人可以对您的登录凭据执行蛮力攻击。 如果您使用共享托管,则更严重的暴力攻击可能会由于缺乏服务器资源而导致您的帐户被暂停。

作为保护您的网站免遭暴露的登录做法的第一步,我们建议您限制登录尝试。 限制登录WordPress插件跟踪恶意登录尝试的次数,并阻止用户再次执行它们。

您还可以添加安全性问题,以充当网站的新密码。 完美的安全性问题是只有您能回答的问题。 更好的是,您可以设置与该问题完全无关的答案。 例如,响应“您最喜欢的饮料?”的“白色条纹”。

保护登录页面的另一种方法是使用2因子身份验证。 除了主密码之外,您还可以使用过期令牌。 即使黑客知道您的密码,他们也无法在不输入完整令牌的情况下登录。 为此,您可以使用Google Authenticator插件。

Google身份验证器

如果您仍然认为自己的密码很弱,则可以使用AskApache Password Protect插件来保护您的管理员。 该插件生成htpasswd文件并加密您的密码。

对于密码,请使用特殊字符,字母和数字的组合。 除非有必要,否则禁止访问某人。 如果是这种情况,请不要忘记在共享需要之后更改密码。

确保您的每个团队成员都能发挥作用。 如果您发现处理太多密码具有挑战性,请开始使用密码管理软件,例如:

  • 最后通行证
  • 达什兰
  • KeePass

要记住的另一件事是永远不要对另一个程序使用WP管理员密码。 如果黑客至少入侵了您的另一个帐户,那么他们也可以获取您的WP管理员密码。 在这种情况下,就好像您根本没有该密码。

5.错误定义的用户角色

如果您有一个要分配特定角色的整个用户团队,事情可能会很棘手。 允许所有人进行管理员访问将使您的WordPress网站安全受到威胁!

要开始设置角色,请打开WordPress仪表板,然后转到“用户”>“所有用户”。 您可以在此处添加用户并为其分配角色。

WordPress用户

图片来源:FirstSiteGuide

WordPress具有不同的WordPress用户角色和功能。 这样,您就可以分配必要的访问级别,而不是将所有人分配给WordPress管理员角色。

如果整个团队都在一个网站上工作,最好有单独的管理员帐户,而不是让整个团队使用相同的管理员帐户。 管理员帐户可用于维护,例如插件升级,主题或插件安装。

分配WordPress用户角色

有五个内置的WordPress用户角色:管理员,编辑者,作者,贡献者和订阅者。 使用这些角色,作为WordPress网站所有者,您可以控制用户可以在网站上做什么和不能做什么。

WordPress管理员角色:管理员可以访问WordPress安装中的所有内容。 该角色可以安装和卸载主题和插件,激活和停用它们,可以创建,删除和修改其余用户。

WordPress编辑者角色:编辑者可以访问所有内容。 他们可以更改它,但是不能对配置,设置,功能和网站设计做任何事情。

WordPress作者角色:仅允许作者访问其博客文章。 他们可以编写和发布其博客文章,更改其现有博客文章以及修改其用户个人资料。

WordPress贡献者角色:贡献者还可以撰写他们的帖子。 但是,与作者相反,WordPress贡献者无法发布其帖子。 它们需要由编辑者或管理员批准和发布。

WordPress订阅者角色:订阅者只能阅读他们订阅的WordPress网站上的内容。 有时需要注册用户才能发表评论。

6.托管基础设施薄弱

您知道吗,前1000万个网站中有30%以上使用WordPress作为CMS? 难怪托管公司正在努力争取尽可能多的客户。

同时,托管公司的质量也不相同。 低价解决方案听起来不错,但每月$ 0.99的价格却令人质疑。

为优质托管主机支付额外费用可为您提供额外的安全性,24/7支持,恶意软件扫描等。 根据我们的经验,市场上没有比Pagely更好的了。

分页WordPress托管

Pagely团队的工作方式深深地刻有安全性! 他们使用动态Web应用程序防火墙(WAF)来阻止代码注入和其他攻击。 这样可以降低在您的网站上遭受DDoS或暴力攻击的风险。

Pagely还使用chroot用户分离和实时系统恶意软件扫描,可保护您的站点免受特洛伊木马,病毒,蠕虫,键盘记录程序,间谍软件,广告软件等威胁的侵害。 此外,他们甚至在有机会进入其网络之前就将大多数可疑流量过滤掉了。

此外,Pagely将始终提供24/7全天候服务,以帮助您在网站遭到入侵时免费免费清理和恢复您的网站。

当然,高质量的主机并不便宜。 这是对企业的一项长期投资,它使您知道某个人在24/7/365照顾您的网站,使您晚上入睡。

包起来

Web安全问题将始终存在。 但是,通过部署WordPress最佳实践并在线关注潜在的安全风险,可以避免大多数此类问题。

我们希望了解主要的WordPress安全威胁将有助于您使网站变得坚不可摧。 有了正确的知识,策略和合作伙伴,您就可以减少安全攻击,并确保WordPress网站的安全。