WordPress安全性：强化WordPress简介

您走出房屋前门只有几分钟，却不费心锁着前门多少次？ 可能不止一次，对吗？ 怎么让您的车开锁仅几分钟呢—严重的是，谁会在一个寒冷多雨的早晨偷您的车，而您却花2分钟拿一杯热咖啡？

这是人的本性。 直到为时已晚，我们很少担心要管理潜在风险。 一旦有人闯入您的房屋，偷走您的汽车或入侵您的WordPress网站，您就会开始担心。

所有这些方案的问题在于，到发生时，为时已晚。 您只剩下拾起碎片，清理烂摊子，并尽力减少损坏。 仅需一点点计划和预防，您很有可能避免了整个情况。

显然，这篇文章与您的汽车或房屋无关，而与您的WordPress网站以及您可以采取的减少潜在漏洞的步骤有关。 问题是，安全始于正确的态度。 这是预防和管理工作的重中之重-不用交叉手指并希望它永远不会发生-因为这不是网站被黑的情况，而是何时被黑。

网站被黑客入侵可能是不经意的事情，既有休闲博客作者的小麻烦，也有成熟企业的主要安全漏洞。 如果您代表客户处理任何类型的私人或敏感信息，则安全漏洞可能会对您和您的客户造成毁灭性的破坏。

毫无疑问，WordPress安全是一个复杂的话题。 本指南应帮助您浏览一些最重要的问题。 最终的结果是对如何管理与构建WordPress网站（世界上最受欢迎的内容管理系统）相关的风险有一个更好的总体了解。

实施更好的安全实践的第一步是了解并能够评估您面临的风险。

关于WordPress安全风险的真相

据W3Techs称，使用WordPress CMS平台占全球网站的25％以上。 仅此数字就使WordPress成为黑客的流行目标。 很简单，有很多潜在的受害者可供选择。

WordPress的流行还导致了一个生态系统，其中包含超过42,000个插件-每个插件都有可能打开更多漏洞。 而且，我们甚至都没有考虑WordPress存储库中不可用的插件。

听到这些统计信息可能会给您印象，WordPress是一个天生不安全的平台。 但是您的印象是不正确的。 WordPress实际上是相当安全的。 WordPress团队非常重视安全性，并拥有定义明确的流程来管理潜在漏洞。

如果说由大约25位安全专家组成的团队（包括开发人员和研究人员）说他们是积极主动的，那是轻描淡写。 WordPress还与外部安全专家和托管公司紧密合作。 此外，必要时WordPress将与其他团队合作解决漏洞，例如在发行3.9.2版后与Drupal合作。

实际上，绝大多数WordPress安全漏洞是我们最喜欢WordPress的事情的结果，它是可扩展性。 缺乏高技能的专业人员意味着很多主题和插件都以未知的漏洞发布，甚至可以在没有预发布安全审核的情况下使用。 结果，它们容易受到攻击。

为什么会有人想要破解您的WordPress网站？

作为经营小型企业网站甚至是简单博客的人，您可能会想知道，“为什么要我？” 到底为什么黑客会希望花费宝贵的时间尝试入侵您的网站？ 事实证明，有多种原因可以包括：

1 – SEO –如果黑客能够访问您的网站，则他们可以使用您的网站通过插入反向链接来改善另一个网站的SEO。 或者，他们可以插入旨在出售某些东西的联盟链接（事实证明，这些链接通常价值很小或没有价值）。 基本上，他们在这里所做的就是利用您网站的良好声誉来进一步推动自己的恶意原因。

2 – SPAM –如果您发现您的网站访问量在短时间内几乎消失了，则可能是您的网站已被黑客入侵，目的是发送SPAM电子邮件。 结果是将您的网站列入黑名单。 一旦黑客使用并滥用了您的网站和托管帐户，他们便直接转移到下一个受害者身上，让您清理混乱。

3 –恶意软件–恶意软件是指恶意软件的术语。 黑客喜欢将恶意软件放置在其他网站上，因为这样可以减少将其识别为原始来源的可能性。 恶意软件可以执行许多不同的操作，包括监视用户的操作，键盘记录，传播病毒等等。

4 –**–普通人在其计算机上存储大量的个人信息：密码，信用卡信息，银行信息等。 获得对WordPress网站的访问权限可以为您提供个人信息，甚至访问者计算机上的信息的门户。

5 –攻击其他网站–有时，黑客的目标是使用户无法访问该网站。 这些攻击通常称为“拒绝服务”攻击。 为了完成任务，黑客将恶意“招募”网站网络以协助进行攻击。

当然，这些并不是黑客可能试图访问您的WordPress网站的唯一原因，但是您有一个大致的了解。 他们可能正试图将您的WordPress网站用于恶意目的，或者他们可能只是利用一个敞开的大门，有可能带来更大的回报这一事实。

目标攻击与非目标攻击

在我们讨论特定的预防措施之前，了解针对WordPress网站的两种主要攻击类型非常有价值：

我们将讨论的第一种类型的攻击不是个人攻击，这意味着攻击者并没有专门为了获取您或您的业务。 这些就是您所说的非目标攻击-一种自动攻击，它在寻找一种利用已知漏洞的方法。 许多黑客天生就是懒惰的（或者很聪明，取决于您对情况的看法）。 他们使用能够扫描广泛IP地址的自动化工具，例如，位于特定共享托管服务器上的所有网站。

当他们扫描一系列IP地址时，他们使用的工具正在寻找特定版本或WordPress或指示潜在可利用漏洞的插件。

我们将在短时间内介绍一些可以阻止非目标攻击的特定方法，但是首先让我们谈谈一些更个人化的东西：目标攻击。

当黑客做出有意识的决定将您的网站作为目标时，就会发生有针对性的攻击。 吸引力法则表明，您的网站越受欢迎，其定位的可能性就越大。 您很有可能甚至都不知道为什么将其作为目标。 重要的是它正在发生，您需要找到一种减轻损害的方法，然后防止将来再次发生。

针对性攻击的两个例子是最近广为宣传的针对Ashley Madison的攻击以及2013年针对Smart Passive Income Blog的攻击。这两种针对性攻击均在财务方面造成了相当大的损失。 在阿什利·麦迪逊（Ashley Madison）的例子中，有几次警察报告说由于发布敏感信息而丧生。

您无法采取任何措施来防止发生有针对性的攻击。 您可以做的是使您的站点变硬，以使过程尽可能对黑客具有挑战性。 然后，用手指指着它们，它将继续前进到更容易的目标。

了解常见的WordPress安全漏洞

OWASP（开放式Web应用程序安全性项目）是Web应用程序安全性的最前沿。OWASP是一个非营利组织，负责改善全球软件安全性。 OWASP还产生了一个名为OWASP Top 10的文档，该文档旨在总结各种Web应用程序中最可利用的安全漏洞。

理想情况下，无论何时发布插件或主题，开发人员都会考虑OWASP发布的漏洞列表，以确保其代码安全。

可以想象，这是最好的情况，并不是每个开发人员都花时间考虑文档中包含的漏洞。 他们甚至可能没有所需的技能。

如果发布带有安全漏洞的主题或插件，WordPress安全团队将尝试通知开发人员并帮助他们修复漏洞。 在不可能或漏洞严重的情况下，已知安全团队会从存储库中删除主题或插件并自行对其进行修补。

接下来，让我们看一下实际的OWASP Top10。请记住，前十名列表中的大多数漏洞都可以以一种或另一种方式与WordPress相关联-我们将以示例的方式详细介绍其中的两个漏洞。 。

OWASP前十名

1. A1 –注射
2. A2 –身份验证和会话管理中断
3. A3 –跨站点脚本XSS
4. A4 –不安全的直接对象引用
5. A5 –安全配置错误
6. A6 –敏感数据暴露
7. A7 –缺少功能级别访问控制
8. A8 –跨站请求伪造
9. A9 –使用具有已知漏洞的组件
10. A10 –未经验证的重定向和转发

A1注射

WordPress使用SQL与您的数据库进行通信，从而使其容易受到SQL注入攻击的攻击。 例如，可以将一个旨在从数据库中提取敏感信息的恶意语句输入到表单字段中。 该过程可能是手动处理的，但黑客也可以使用Burp Suite之类的工具来自动化该过程，具有讽刺意味的是，它也是安全专业人员用来测试安全漏洞的工具。

黑客可以从在输入字段中生成简单的错误消息，逐步提取出数据库中包含的用户帐户列表。 显然，这是一个简化的解释，但是它显示了一个小的漏洞如何导致敏感信息的释放。 SQL注入攻击是WordPress生态系统面临的主要漏洞之一。

A3跨站脚本（XSS）

XSS漏洞非常普遍且同样复杂-XSS攻击有多种变体，例如反射性和持久性，我们将在这里不做详细介绍。 但是，我们至少应该涵盖与WordPress相关的基础知识。

利用XSS漏洞需要两个无辜的团体。 首先，需要一个易受攻击的WordPress网站，其次是不愿意的访客。 从本质上讲，发生的事情是，当黑客发现易受攻击的网站时，他们会分发恶意脚本（例如通过电子邮件）。 用户单击包含恶意脚本的链接时，会将他们定向到易受攻击的网站。 然后，该网站将该脚本反射回访问者浏览器，在该浏览器中愿意执行该脚本，因为该脚本来自安全的网站。

恶意脚本可以执行各种活动。 一些例子是：

• 窃取会话凭证。
• 替换登录屏幕的表单操作，以便当您单击提交时，您的登录详细信息将发送给黑客，而不是将您登录到网站。
• 捕获击键并将其发送回黑客。

XSS漏洞已在许多知名插件中得到报告并修复，其中包括：

• 喷气背包
• WordPress SEO，多合一SEO和Yoast SEO
• 重力形式
• WP Touch
• 忍者形式

此列表仅表示遇到问题的插件的一小部分。 但是，即使从这个知名插件列表中，您也可以想象有数百万用户受到了潜在的影响。 请记住，黑客并非总是第一个发现漏洞的人。 在许多情况下，好人首先发现漏洞，并在出现更严重的问题之前提供补丁。

如何管理WordPress安全

如果您花时间阅读了本文的第一部分，请轻拍一下自己。 尽管这是一个非常基本的概述，但您可能比大多数每天使用该平台的人对WordPress漏洞（类型和潜在风险）有更多的了解。

这实际上只是解决难题的一半，对吧？ 既然您对风险有了更好的了解，那么您可以采取什么措施来最小化该风险？

您需要了解的第一件事是，没有WordPress网站具有100％安全性。 通常，最好的方法是保护您的站点免受最大和最常见的威胁。 还记得我们在介绍中提到的房屋和汽车类比吗？ 有时仅仅锁好门就成功了一半。 但你从哪儿开始呢？

我们与Sucuri的Tony Perez进行了接触，询问了运行WordPress的小型企业所有者在2016年及以后需要关注的主要安全威胁。 如果您想直接从确切知道他们在说什么的人那里听到它，那么Tony不得不说：

Beyond是一个非常重要的名词，尤其是在谈论安全性时，因为它是一个不断发展的动物。 考虑到这一点，我想对WordPress中的安全性说的是，过去两年来，攻击媒介一直很稳定。 它围绕着两个截然不同的媒介-访问控制和软件漏洞。

访问控制是环境的登录方式–想想WordPress中的wp-admin，但想想之外，还可以访问服务器和托管帐户。 访问是一个很大的因素，通常是当您听到诸如蛮力攻击之类的消息时我们所听到的被利用（即被攻击）的信息。

软件漏洞，特别是对这些漏洞的利用，对于WordPress用户而言一直是一个大问题。 并不是因为平台本身，而是因为它的可扩展性和可用的众多插件/主题，以及相对于采用该平台而言，缺乏熟练的专业人员。

不过，我认为内容管理系统/消费者网站有一个新的参与者，我认为它将在来年开始增长，这就是对网站可用性的攻击（WordPress等）。

随着平台不断加强其开发实践，利用环境变得越来越困难，这是自然而然的过程。 但是，相对而言，毫不费力地继续受到攻击的一件事就是网站的可用性。 这些攻击将以拒绝服务和分布式拒绝服务攻击的形式出现。

如何强化您的WordPress网站

虽然本文的目的不是回顾WordPress安全插件或服务，但我们仍然希望为您提供一些可行的想法。 如此之多的人最终将其WordPress网站砍死的原因是，他们未能采取任何预防措施，直到为时已晚。

我们认为这是从其他WordPress安全专家那里获得一些反馈的好时机，因此我们问WP White Security的Robert Abela，“您认为WordPress用户在维护网站时犯下的前2-3个安全错误是什么？ ？”

他毫不犹豫地回答：

一个人可能犯很多安全错误，而在WordPress的情况下，这全都归结为缺乏维护网站的经验。 仅仅因为它易于使用，并不意味着它易于维护，尤其是从安全性角度而言。 并且由于缺乏经验的人：

1. 使用弱用户名和密码。
2. 无法使软件保持最新（无论是WordPress核心，插件，主题，Web服务器还是其自己计算机上的软件）。
3. 在不对插件和主题进行任何基础研究或检查源代码的情况下安装插件和主题。

请牢记这三个项目，这里有一些技巧可以帮助您改善整体安全状况。 这绝不是一个包含性的清单。 您可以采取更多措施来进一步加强安全性。 但是，如果您选择以下几个，您将领先90％的其他WordPress网站。

1.备份您的网站

最重要的是，您可以做的最重要的事情就是定期备份您的网站。 如果您使用的是WordPress（或与此相关的任何平台），则不是问题是否存在，而是您的网站何时被黑客入侵。 发生这种情况时，您首先要努力使一切恢复正常的是备份。

您可以通过多种方式备份您的网站-一些托管公司会为您提供自动备份，甚至可以使用Backup Buddy这样的插件或VaultPress这样的服务。

2.选择一个可靠的WordPress主机

为您的WordPress网站选择一个可靠的可靠托管公司可以大大缓解您的一些安全隐患。 托管公司需要认真对待安全性，但这并不是说您必须依靠托管的WordPress托管公司。 有很多很棒的托管公司可供选择，它们的价格不一。

作为主动安全实践的一个示例，某些托管公司会在尝试登录或访问托管帐户的次数过多失败后自动阻止IP地址。 您还应该确保他们使用的是MySQL和PHP的最新版本，这是对WordPress至关重要的两个组件。 请毫不犹豫地向您的托管公司询问有关其安全状况的更多信息。

3.使用信誉良好的主题和插件

选择信誉良好的主题和插件是减少潜在黑客可以使用的总表面积的重要步骤。 许多顶级WordPress插件或主题开发人员在发布之前都要求Sucuri等公司进行第三方审核。

如果您回顾一下我们讨论过XSS漏洞的部分，那么很明显，即使是在完善的主题或插件中也可能存在漏洞。 区别在于，信誉良好或信誉良好的主题公司或插件开发人员更可能主动采取安全措施。

在插件主题上，最好将插件总数限制为尽可能少。 默认情况下，更多插件意味着您提供了更大的潜在攻击面。

4.使用强用户名和密码

这不仅是WP White Security的Robert提出的问题之一，毋庸置疑，您需要使对所有帐户的访问尽可能地困难。 在您的所有帐户（不仅是WordPress登录名）中使用唯一且难以猜测的用户名和密码。 您还应该在提供选项的任何帐户上实现两因素身份验证，并为您的WordPress网站使用Clef两因素身份验证之类的插件

考虑一秒钟，如果黑客获得您的域注册商，托管帐户或cPanel的访问权限，可能造成的损害。 尽管存在这些风险，但许多人仍然坚持在多个帐户中使用相同的登录凭据。 密码强度高的迹象是您不记得的，但是LastPass或1Password等服务旨在为您管理密码。

这是一些创建强密码的便捷建议：

4.限制对WordPress网站重要部分的访问

极大的威慑力量使黑客更难以访问特定部分或您的WordPress安装。 您还可以通过使用安全插件来实现其中一些目标，我们将在后面介绍。 如果您有兴趣手动完成此过程，可以执行以下操作：

• 通过将其wp-config.php文件移动到WordPress安装上方的一个目录来保护它。
• 确保您的目录和文件具有正确的权限。
• 在WordPress管理面板中禁用文件编辑器，这意味着黑客将需要FTP访问权限才能访问核心文件和主题文件。

限制访问还包括使用适当的用户角色。 当您的网站上有多个人时，这一点尤其重要。 例如，如果您有员工，作者，编辑或其他任何访问WordPress网站的人，则应为他们提供适合自己工作的登录凭据。 除非有人实际需要管理员功能，否则不要分配管理员角色。

5.使用安全性插件

许多用户发现依靠一站式安全解决方案更加容易。 如果听起来像您，那么可用的WordPress安全插件之一可能是合适的。 以下是一些受欢迎的选项：

iThemes安全性–提供免费和高级版本，iThemes提供了30多种不同的方式来提高您网站的安全性。

WordFence –是另一个提供免费和高级版本的安全性插件。 WordFence的下载量刚刚超过1100万，拥有强大的用户基础，他们依靠此插件来满足其安全需求。

Sucuri –虽然Sucuri在WordPress资料库中维护免费插件，但它们还提供更全面的服务，包括：恶意软件和黑名单扫描，DDoS保护，恶意软件清除，防火墙保护等。 Sucuri服务的主要功能之一是，如果您的网站遭到入侵，它就包含清除功能。

以下是适用于WordPress的其他恶意软件扫描工具的列表。

6.监视网站上发生的情况

密切关注您网站的情况可以提供重要线索，以防止某些事情不正确。 您应该定期检查几个不同的地方。

• 您的分析可以提供有关您的网站流量的关键信息。 任何突然的变化，尤其是突然的下降都可能表示有问题
• 使用site：http：//yourdomain.com进行站点搜索–被索引的页面数是否有突然或负面的变化？ 您所有的元描述都合适吗？
• 您网站上的其他已登录用户最多（已授权）？ 每当有人访问您的WordPress网站的后端时，您都可以使用WP Security Audit Log之类的插件来跟踪正在发生的事情。

Cyber​​Scanner是由网站安全专家团队创建的新型网站漏洞扫描程序。 目前，它检查98000多个不同的漏洞。 设置非常容易，每周您都会收到一份安全审核报告，非常适合GDPR。

这里的重点是您应该保持警惕。 您可以通过尽早发现安全漏洞来避免无法避免的损失。

如果您的网站被黑客入侵该怎么办

如果不幸的是，您的WordPress网站被黑，您将松一口气，因为您知道最近有一个备份。 但是对于典型的WordPress管理员来说，理想的做法是什么？

为了回答这个问题，我们再次询问WP White Security的Robert Abela，他建议了3个步骤：

1. 备份其中的内容。 这将有助于分析发生的情况。 确保您没有覆盖网站的先前完整版本。
2. 恢复备份并更改所有密码。
3. 分析备份，日志和其他所有内容，以查看利用了哪个漏洞，因此您可以在网站的还原版本中将其关闭。

他还补充说，尽管有时易于发现和删除恶意软件，但大多数时候您将需要专业帮助。

关于加强WordPress安全性的最终想法

您可以选择忽略WordPress安全性，更具体地说是加强网站安全性。 作为世界上最受欢迎的CMS，WordPress是无数黑客的目标。

即使您觉得您的网站或小型企业规模太小而无法成为目标，您也要记住，很大一部分攻击是自动进行的，并非专门针对您的网站。 如果您有兴趣了解一些困难的数字，Impervia会制作一份年度Web应用程序攻击报告，其中包含一些令人恐惧的统计数据。

尽管感觉到厄运和忧郁，但您最好的决定是主动采取WordPress安全态势。 太多的WordPress管理员做得太少，太迟。 即使没有WordPress网站可以做到100％安全，但您今天采取的任何旨在加强安全性的措施都可以立即获得回报。

_{通过Leisurejobs.com的强密码图像}