如何確保您的 WordPress 網站是安全的?

已發表: 2022-03-08

兩幾十年前,搶劫僅限於破門盜竊某人的收入或貴重物品。 這將是現在的惡作劇製造者和強盜,成為黑客的類型。 為個人獲取或政治原因發現和利用軟件程序漏洞的每個人。

在我開始之前,您必須知道這篇文章並沒有深入探討 WP 安全的本質,而是討論了 WordPress 漏洞的觸發因素。 如果這不是您要尋找的內容,我建議您學習 - “加強 WordPress 安全性 - 保護 WordPress 網頁的完整信息”。 不過,我應該指出,了解前面的 WP 漏洞的本質,可以很好地了解如何確定網站的保護協議。

人們為什麼要分裂成站點和知識中心? 闖入保存客戶資料、電子郵件 ID、信用卡數據等的互聯網站點比搶劫貸款人在經濟上的回報要高得多。 如果您經營一個相當繁榮的網站,我肯定已經有數百甚至無數次嘗試訪問您網站的詳細信息。

就在不久前,AshleyMadison.com 遭到黑客攻擊,3700 萬買家的詳細信息被盜。 黑客要求關閉該網站,否則他們將發布被盜用戶信息的詳細信息,其中包括性幻想。 這向您展示了一種黑客可以通過簡單地獲得事實來誘導的破壞方式。

萬維網安全是一個極其重要的話題,並且越來越適用於指定範圍的網站彈出來獲取其消費者的私人信息和事實。

多達 65% 的網絡使用 WordPress 作為書面內容管理流程,所以這些天我將討論 WordPress 的穩定性以及 WP 網站在以前是如何獲得資格或被黑的。

為什麼要採用出色的安全策略?

  • 你欠你的買家和客戶,他們依靠你敏感的個人信息和事實來保證它的安全。
  • 你的網站被黑了——你失去了收入。
  • 你的網站被黑了——你的查找引擎排名只需要一種方式就可以到達地獄。

WordPress 互聯網網站被數以千計的黑客入侵,如果不是數百的話。 並非每個網頁都研究過它們在以前被黑客入侵過。 正如您可能猜到的那樣,這對他們的品牌名稱來說並不是一個很好的認可。

我想對這篇關於 WordPress 安全的帖子的要求進行一些說明。

根據 Sandro Gucci(許可證保護創始人)分享的一項研究。

  • 73.2% 最受歡迎的 WordPress 安裝容易受到漏洞的影響,這些漏洞可以通過使用免費的自動資源進行檢測。
  • 只有 7,814 個站點 (18.55%) 升級到 WordPress 3.6.1,這是進行測試時 WP 的最新變體。
  • 13,034 個網站(30.95%)最終繼續管理易受攻擊的 WordPress 版本 3.6。 WordPress 3.6 當時有 5 個公認的漏洞。

如果您一直在思考,那麼這只是對昏暗網站上某個地方的緊湊型陌生網站的一些不公平的概括描述,您會誤會的。 這些數據是根據對 Alexa 最佳單百萬網站上約 42,000 個 WordPress 網站的審查得出的。 對於據稱是萬維網上訪問量最大的互聯網站點來說,這是一個大範圍的易受攻擊的站點。 這些網站積累了大量有關其訪問者和訂閱者的信息。

數據在 2013 年 9 月是正確的,我不相信它會偏離太多,即使它有,本文中展示的統計數據顯示了困擾 WordPress 的安全問題的規模。

如果您想要額外的證據來證明 WordPress 可以被入侵。 我建議您參考 Netcraft 的一項檢查,

  • 2014 年 2 月,最終有 12,000 個 WordPress 博客被用作網絡釣魚網頁的平台。
  • 在被 Netcraft 阻止的用於分發萬維網託管惡意軟件的所有惡意軟件 URL 中,有超過 8% 以 WordPress 博客告終。

我需要指出,在 Automattic wordpress.com 上運行的不僅僅是個人博客之一。 這應該真的很清楚地說明,如果不謹慎使用並且對 WP 保護有所了解,即使 WordPress 也可能容易受到攻擊。 這樣做的另一個動機很可能與一個簡單的事實有關,即 wordpress.com 上託管的所有博客在 WordPress 更新啟動後幾乎都是最新的。 考慮到那時,需要提到的是,自動 WordPress 更新已在 WP 模型 3.7 中啟動,以保護網站免受零日攻擊。

甚至在此之後,還有許多安全問題一直困擾著 WordPress。 查看該平台不同版本中的 WordPress 漏洞記錄。

現在你完全無法阻止這種情況的發生,新的漏洞通常會被發現。 核心 WP 小組非常重視穩定性,並使 WordPress 更加安全。

但與其他流行軟件一樣,當今天有更多人開始使用漏洞時,利用漏洞會帶來額外的回報。

不相信我? 如果您覺得 WordPress 會以某種方式突然發展為完全沒有任何漏洞,請查看此圖表!

多年來的 wordpress 漏洞

儘管漏洞的數量隨著時間的推移從 2007 年和 2014 年的高點有所下降,但由於 WordPress 的聲譽不斷提高,發現新漏洞和利用的動力卻沒有止境,這提供了不斷上升的盈利能力。

WordPress 可能開箱即用是安全的,但是在合併了這麼多插件/主題和自定義代碼之後,許多漏洞開始迅速增加。

話雖如此,我們可以對您的 WordPress 進行一些小的改進,使其得到更多的額外保護。 最初我們需要對 WordPress 安全有一個完整的了解,這對於找出安全失敗的原因非常有幫助。

您可能會驚訝地發現,在穩定性破壞的情況下,WP 核心系統出現故障的情況很少見。 您的 WP 額外擁有的東西更有可能產生黑客可以利用的漏洞。

WordPress 網站是如何遭到入侵的?

確保全面安全的問題是,沒有這些東西。

假設您的 WordPress 受到完全保護,您將繼續擁有 Apache、FTP 客戶端、MySQL 以及在您的服務器上運行的任何應用程序,您必須擔心。 您的網站與其最弱的網址一樣無風險。 這涉及到主機軟件包的質量、網站運行的主題和插件。

我希望我有更多最新的統計數據,我也可以為你上演。 儘管如此,這篇評論作為 WpWhiteSecurity 博客上的信息圖提供了對 WordPress 網站如何被黑客入侵以及哪些因素使它們易受攻擊的出色見解。

這項研究是根據 2012 年被黑客入侵的 170,000 個網站的信息進行的。與前一個日曆年(2012 年)相比,黑客攻擊的種類增加了 18%,有趣的細節是各種漏洞並未增加以完全相同的比例。 但是,由於 WordPress 和以 WordPress 為中心的商品的使用增加,即使漏洞的小幅增加也會影響更多的網站。

  • 41% 的被黑 WordPress 被其託管系統上的安全漏洞入侵。
  • 29% 的人因他們最終使用的 WordPress 主題的穩定性問題而被黑客入侵。
  • 22% 的人因他們一直在使用的 WordPress 插件中的保護問題而被黑客入侵。
  • 8% 最終被黑客入侵主要是因為他們的密碼較弱。
  • 從前面提到的,我們可以得出結論,超過 51% 的被黑客入侵的 WordPress 網站是通過他們一直使用的 WordPress 主題或插件中的漏洞被黑客入侵的。

令人沮喪的大部分黑客攻擊是由於將軟件放入插件、主題類型中,並且僅僅是因為全球網絡託管服務提供商未能充分加強服務器的安全性。

在討論保護您的網站的步驟之前,沒有任何級別的討論,然後再解決您在網絡託管、主題和插件方面的保護條件下的最佳選擇。 在我開始推薦某些穩定步驟以加強 WP 安全性之前,我將討論如何為您的網站獲得出色的第三方軟件和安全可靠的託管。

結論

由於信息管理技術的核心代碼中的錯誤,WordPress 網站很少受到攻擊。 但是一個網站並不完全基於書面內容管理技術,它需要一個互聯網主機來託管萬維網上的 CMS,需要主題才能使它變得花哨,並且需要插件來插入所需的功能。 在您的 WordPress 設置中包含多層第三方社交軟件可能會使您的穩定性有點漏洞,如果它沒有適當地完成的話。

您的 WordPress 主程序、插件和主題以及網絡主機將需要連接以保持您的 WordPress 網頁正常運行。 這種對話有時有缺陷,它使網站容易受到影響。

由於密碼弱,8% 的網站可能會受到攻擊。 繼續,大量證據表明,引入編寫糟糕的插件/主題或運行在過時軟件程序上的互聯網主機是所有 WordPress 互聯網網站被黑客入侵或關閉的主要結果。

既然我們已經認識到與 WordPress 漏洞相關的一些明確性,作為 WP 穩定性系列後續發布的元素,我將重點介紹增強 WordPress 安全性所需的措施。

如果您曾經經歷過您的 WordPress 網站被黑客入侵或遭受 DDOS 攻擊,請分享詳細信息。 如果問題在我們的能力範圍之內,可能是 Aigars 或我會嘗試解決問題。 乾杯