你的WordPress网站有被攻击的风险吗?由于新冠肺炎疫情,消费者向网上商店的迁移急剧增加。网络攻击的风险也是如此。
通过尼克Brogden•
《创业家》作者的观点纯属个人观点。狗万官方
在刚刚过去的十月,WordPress安全团队使用了一个内部特性,为一个流行的插件推送了一个安全更新。许多人甚至是经验丰富的开发者都不知道强制推送更新的能力。
在Loginizer插件中发现的这个漏洞,被超过100万个网站使用,被归类为最近影响WordPress插件的最严重的安全问题之一,这就是为什么WordPress的安全团队认为有必要采取行动。
并不是所有人都喜欢WordPress的主动出击,用户在Loginzer的论坛和WordPress.org网站上抱怨。有些人惊讶地发现,甚至可以在禁用自动更新的情况下更新插件。2015年,在WordPress首次使用强制更新功能之后,用户也抱怨过。
WordPress决定推出一个安全补丁,以阻止在插件中发现的一个危险的SQL注入错误。这个漏洞可以让黑客使用过时版本的Loginizer来接管WordPress网站,具有讽刺意味的是,Loginizer为WordPress登录页面提供了安全增强。
WordPress更新
大约两周后,WordPress推出了WordPress核心的WordPress 5.5.2安全和维护版本。此更新包含十个安全补丁,WordPress建议所有用户立即更新他们的网站。
截至2016年,WordPress大约占12亿个网站的34%在互联网上。作为一个内容管理系统(CMS), WordPress是基础和高级技术水平的web开发人员的首选,主要是因为它易于使用。由于安装量如此之大,它一直是网络罪犯的目标,世界各地的网站所有者都成为了一连串暴力攻击和其他类型攻击的牺牲品。这些来自WordPress的定期安全更新对于保持这些网站的安全和可用性至关重要。
WordPress的生态系统
WordPress不仅吸引了邪恶的黑客,也吸引了企业家。狗万官方Astra、iThemes、Sucuri和Bullet等公司的业务都是为WordPress网站所有者解决安全问题。
这个流行的CMS除了易于使用之外,还提供了简单的定制。无论你想建立什么类型的网站,都有一个插件来提供现成的定制。据最新统计,WordPress.org列出了超过58,000个解决方案,但这些插件和主题往往是攻击的切入点。
WordPress、插件和主题最容易受到以下攻击:
暴力攻击-输入不同的用户名和密码组合,直到获得进入。
跨站脚本-黑客引诱受害者到包含恶意JavaScript代码的网站。
文件包含——利用WordPress PHP代码中的漏洞。
恶意软件-注入到网站的代码,以促进,例如,未经授权的重定向或允许高级访问您的托管帐户。
SQL注入——攻击者寻找不安全的数据库,并使用MySQL注入访问它们,这使他们能够控制所有数据,并使他们能够创建管理帐户或向数据库中插入内容,如链接到其他包含恶意软件的网站。
为什么你的WordPress网站有风险?
大多数WordPress网站(所有网站)都很容易受到攻击,因为网站开发人员和所有者在安全方面没有采取最佳实践。糟糕的密码是一个主要的漏洞点,而且很快就会被解决,然而每天都有成千上万的网站因为脆弱、容易被猜出的密码而被攻破。
简单的密码
为了防止暴力攻击,创建复杂的密码,使用12个或更多的字符,混合符号,字母和数字,并确保密码对您的WordPress站点是唯一的。密码库应用程序,如LastPass和1Password使这很容易。
没有认证
多因素身份验证提供了额外的安全层,当添加到其他最佳实践中时,将有助于防止黑客访问您的网站。有几个应用程序,如Google Authenticator,用于您的移动设备来验证授权的访问尝试。
未使用的插件和主题
WordPress网站的其他入口是过时的插件和主题。虽然网站在插件较少的情况下运行得更快,但许多网站所有者安装了插件,试用后选择不使用它们提供的功能。被抛弃的插件被留下,更新被忽略。随着时间的推移,网站可能会积累几十个未使用的插件和主题。
在安装新的插件和主题时要小心。始终从可靠的网站下载,例如ThemeForest,CodeCanyon,以及WordPress.org。少用插件,选择那些有多种功能的插件,而不是几个单一功能的插件。
通过登录您的托管帐户或使用FTP软件删除主题。此外,检查数据库中是否有不再使用的插件创建的表孤儿。
没有安全插件
每个网站都应该有一个安全插件,有很多好的插件。如果黑客试图访问您的网站,这些是您的第一道防线。你会经常发现Sucuri, iThemes Security, All In One WP Security & Firewall, BulletProof Security, Jetpack, SecuPress, Cerber Security和Wordfence在前十名列表中以及其他鲜为人知的选项。
没有托管安全
许多托管公司都包含安全功能,或者作为附加服务提供安全功能。配置软件(和你的WordPress安全插件)进行定期扫描——每天扫描不算太频繁——并提醒你任何异常情况。
备份计划
虽然每个网站所有者都应该遵循安全最佳实践,但网站被黑客攻击的可能性仍然存在。当所有可能出错的事情都出错时,备份计划是一种安全措施。根据对站点进行更改的频率启用定期备份。如果它是一个日常任务,创建每日备份。将它们存储在异地,并保留一周的数据量,以防你没有立即发现攻击,需要返回几天来寻找干净的备份。
WordPress背后的开发人员不知疲倦地工作以保证网站的安全,但所有者必须负责确保他们的软件是最新的,密码是安全的。以同样的方式,WordPress使开发网站变得容易,它也使安全变得容易。安装更新,使用复杂的密码,添加身份验证,并计划备份,以保持您的网站运行和赚钱。