7 个 WordPress 安全神话:彻底破灭并揭穿

已发表: 2023-10-21

尽管 WordPress 平台是世界上最受欢迎的内容管理系统,但有关其安全性的神话仍在流传。 由于其开源性质,没有经验的用户可能会认为它不如商业产品安全。 另外,他们可能会对新闻中有关 WordPress 安全问题的报道感到不安。

7 个 WordPress 安全神话:彻底破灭和揭穿:WordPress 安全头条新闻

误区#1:安全是托管提供商的工作

作为初学者或首次建立网站的所有者,您可能会认为确保网站安全是您付费维持网站在线的人员的职责。 从某种程度上来说,这是真的; 您的网络托管提供商确实是第一道防线。 他们的工作是确保您的网络服务器不易进入并保护您网站所在的物理实体。 如果他们不这样做,他们就是一个糟糕的主人。

网站安全主要是您的责任

然而,除此之外,您的托管提供商对 WordPress 网站安全性的参与程度实际上取决于您的计划。 在共享主机、VPS主机、甚至专用服务器上,你基本上只租用服务器空间。 你用它做什么取决于你。

7 个 WordPress 安全神话:彻底破灭和揭穿:网络托管

这意味着,托管提供商不会以任何方式帮助您保证 WordPress 网站的安全。 那是你的工作。

当然,一些提供商会提供额外的安全功能,例如防火墙或 CDN。 他们还将监控其服务器是否存在恶意软件、病毒等,并在检测到您网站上的某些内容时采取行动。 然而,通常这也意味着他们禁用您的网站并要求您修复它。 这不是一个理想的解决方案,特别是如果您是初学者。

托管可以提供帮助

如果您希望托管提供商在 WordPress 网站的安全方面发挥更积极的作用,则必须使用托管托管。 之所以这么称呼,是因为除了提供服务器空间之外,托管提供商还接管运行网站所带来的一些日常任务。 安全性是其中之一,速度优化、站点更新和专家支持也是如此。

7 个 WordPress 安全神话:彻底破灭和揭穿:通过 WP Engine 托管 WordPress

当然,这种服务需要额外付费,但是,这通常是值得的,具体取决于您对自己保护网站安全的技能水平的信心。 它可以让人安心很多。

然而,总的来说,让我们一劳永逸地消除这个 WordPress 安全神话:除非它是您预订的服务的一部分,否则您的托管提供商不负责您网站的安全并防止其被破坏和黑客攻击。 这个责任是你的。

误区#2:WordPress 本身存在安全风险

现在,您可能会想,“好吧,如果托管提供商不为我这样做,那么依赖免费软件不是有风险吗? 一群志愿者在空闲时间能做出多好的事情呢? 另外,我看到 Wix 的人在电视上告诉我 WordPress 也不安全。”

好吧,接下来我们来解决这个问题。

您必须了解的第一件事是,连接到互联网的任何东西都不是完全安全的。 每天都有数以千计的网站遭到黑客攻击,从最大的到最小的。 就像生活一样,归根结底,只是存在不同程度的不安全感,并确保你尽可能地避免不好的事情发生。

WordPress 拥有广泛的安全措施

在这方面,WordPress 的表现并不比其他网站差。 事实上,多年来,该平台已经实现了一个强大的系统来发现和解决核心产品中的安全问题。

有一个由大约 50 名专家组成的专门安全团队,包括首席开发人员、安全研究人员和其他网络安全专业人员。 他们中的许多人在 WordPress.com 工作,该公司在为其整个业务所依赖的软件提供故障保护方面拥有既得利益。

此外,该团队还咨询其他托管公司甚至内容管理系统的安全团队。

他们的职责是主动监控 WordPress 的漏洞并快速响应出现的任何问题。 如果报告的任何内容足够严重,他们有可能立即创建并发布补丁。 除非您专门关闭此功能,否则它将自动安装在任何高于 3.7 版本的 WordPress 网站上。

7 个 WordPress 安全神话:彻底破灭和揭穿; WordPress 安全措施

除此之外,WordPress 通常会进行频繁的更新,每年大约有两到三个新的主要版本,其间还有次要更新、维护更新和安全更新。 每个都包含针对潜在安全问题的修复和广泛的测试过程。

社区是其主要资产

除了上述之外,你可能对这群“志愿者”的真实面貌有错误的印象。 他们中的许多人是使用 WordPress 开展业务的百万美元公司的员工。 此外,他们所有人都参与其中,以确保他们赖以生存的软件的安全。

总的来说,WordPress 的开源特性是其优势的一部分。 源代码是免费提供的,任何人都可以检查以及查找和报告安全漏洞。 很多人都这样做。 我的意思是,看看 WordPress 6.3 的贡献者数量就知道了。

7 个 WordPress 安全神话:彻底破灭并揭穿

最后,还有许多专门的托管提供商和安全插件来进一步提高 WordPress 网站的安全性。 更不用说,还有数千篇博客文章和教程可以帮助用户实施安全措施。

那么,我们对这个 WordPress 安全神话有何看法呢? 这不是真的。 确保WordPress核心产品的安全性和坚不可摧的系统等于或超过商业实体。

误区 3:WordPress 是最常被黑客攻击的平台

统计数据显示,WordPress 是目前被黑客攻击最多的 CMS,这可能会让您对使用 WordPress 感到不安。 确实,该平台过去曾因一些备受瞩目的安全问题而成为新闻焦点。 我的意思是,只要看看这张图,它不会让您对使用 WordPress 做任何严肃的事情产生怀疑吗?

7 个 WordPress 安全神话:彻底破灭和揭穿:2022 年受感染网站平台分布

考虑 WordPress 的大小

此时,我们必须回顾一下我们在引言中所说的第一件事。 WordPress 是目前最流行的内容管理系统。

它到底有多受欢迎?
据 W3techs 称,它为互联网上超过 43% 的网站提供支持。

从绝对数量来看,该网站数量超过 4.7 亿个。 有很多网站。 另外,正如您从上图中看到的那样,没有其他系统可以接近这些统计数据。

那么,为什么 WordPress 是被黑客攻击最多的平台呢? 因为还有很多 WordPress 网站可供破解。

想想看,如果你是一个以侵入他人网站为生的人,你会瞄准哪个系统? 是拥有源源不断的潜在受害者、更有可能有人打开侧门的目标,还是目标距离较远的目标? 你可能知道答案。

WordPress 核心不是问题

最后,如果您深入研究统计数据,您很快就会发现,成功的 WordPress 黑客攻击中只有极少数是由于 WordPress 本身而发生的。 即使在这些情况下,通常是因为该网站运行的是过时的版本。

大部分漏洞来自 WordPress 扩展,特别是插件。

所以,是的,WordPress 确实是最容易被破坏的平台,这个安全神话大部分都是真实的。 然而,其背后的原因要微妙得多。

误区#4:那么 WordPress 插件就不安全

敏锐的观察者(你肯定是)可能会注意到我们只是把我们自己的整个论点都抛到了那里。 显然,我们承认 WordPress 插件是一个巨大的安全问题。

由于它们是 WordPress 生态系统和体验的核心部分(因为每个人都使用它们向网站添加更多功能),这必然意味着您别无选择,只能使用 WordPress 构建不安全的网站。

钱德勒·宾 (Chandler Bing) 朋友 GIF - 查找并分享 GIPHY

哦不,被抓了!

插件的问题

当然,在这里,你也必须更加细致入微。

是的,显然 WordPress 插件存在问题。 它们是网站的常见入口点。

然而,要正确看待这一点,您首先必须查看现有插件的绝对数量。 仅 WordPress 存储库就有大约 60,000 个。 此外,网上其他商店还提供更多商品。

然而,WordPress 生态系统的资产也可能是一种负债。 这些插件的作者具有不同的技能水平,并且并非所有插件都得到积极维护和更新。 因此,它们可以具有不同级别的代码质量和安全性。

WordPress 社区已意识到这一点,并尽力响应此问题。 在某些情况下,存在已知问题的插件已从插件目录中删除。 此外,我们还有人致力于开发类似于主题检查插件的插件检查器,以提高 WordPress 插件的整体质量。

因此,抵制这种安全风险的第一条规则是确保您使用的插件 a) 来自信誉良好的来源,b) 获得积极的支持和维护。

这不仅仅与插件有关,还与您如何使用它们有关

然而,插件本身只是等式的一部分。 在许多情况下,问题同样出在人们在网站上使用它们的方式上。 在上述同一份报告中,还表示 36% 的被黑网站上安装了过时的插件。

因此,就像 WordPress 核心一样,问题不一定是软件,因为安全问题确实正在得到解决,而是用户没有应用这些修复。

另外,经常会出现插件数量的问题。 从上面可以明显看出,扩展确实带来了一些风险。 因此,您拥有的侧门越多,您向网站引入的潜在侧门就越多。

解决方案:仅安装完成工作所需的插件数量。 如果您不经常使用插件,请将其删除。 不要让它在您的网站上徘徊,因为它除了老化并可能带来安全风险之外什么也不做。

误区#5:您的网站不是目标,没有人关心它

这是网站安全神话中的经典,甚至在 WordPress 之外也是如此。 许多人,尤其是那些经营业余爱好或小型网站的人,认为他们没有为黑客提供足够有利可图的目标来攻击它。 我的意思是,如果您只发布宠物仓鼠的照片,那么有人可能会从破坏您的网站中获得什么?

黑客攻击不是针对个人的

这里有两件事你必须明白。 其一,网站黑客攻击与您在电影中看到的完全不同。 没有人穿着连帽衫坐在笔记本电脑前精心挑选您的网站,然后花时间手动寻找进入该网站的方法。

不,绝大多数攻击是自动发生的。 有一大群自动化机器人不断扫描网络以查找网站中的已知漏洞,如果发现漏洞,就会利用它。 大多数时候,你只是机会的受害者。

接管您的网站并不是真正的目标

其次,黑客攻击网站通常并不是窃取财务数据或其他敏感信息。 在大多数情况下,黑客只是试图接管您网站的部分内容,以便利用它来谋取私利:

  • 将其招募为僵尸网络的一部分,以便将其用于 DDoS 攻击等
  • 从您的邮件服务器发送垃圾邮件
  • 将恶意软件传播到访问者的计算机上
  • 在您的网站上发布诈骗网站的链接

有些人这样做只是为了破坏您的网站并证明他们的技能。

世界 GIF - 在 GIPHY 上查找并分享

所以记住这一点。 这与你无关。 这只是成为一个可以被利用的目标,你应该尽力避免这种情况。

误区#6:使用强密码可以保证您的网站安全

使用安全登录信息绝对是 WordPress 安全的一部分,这并不是神话。 弱密码和用户名可能会通过多种方式再次攻击您:

  • 暴力攻击– 意味着程序随机尝试不同的用户名和密码组合,直到出现问题为止。
  • 撞库——这与暴力攻击类似,但更有针对性。 在这种情况下,黑客使用已经被泄露的凭证,例如在另一次网络攻击中泄露的凭证。 这种攻击是基于许多人重复使用他们的用户名和密码的事实。

如果您不相信这会那么糟糕,这里有一个信息图,它向您展示了黑客根据密码的复杂性破解您的密码的平均速度。

因此,强密码确实有助于保护您的网站。 那么为什么这一点会出现在 WordPress 安全误区列表中呢?

因为仅靠强密码是不行的。 网站安全是一个谜题,而它们只是其中的一部分。 如果您忽略其余部分,您仍然会为攻击者破坏您的网站留下重要的途径。

此外,密码只是一个开始。 要真正锁定您的登录页面,最好建议您限制登录尝试、使用多重身份验证并考虑使用防火墙。 另外,强大的凭据不仅对网站本身很重要,而且对与其相关的所有内容也很重要,例如您的托管和 FTP 帐户。

误区#7:只需安装一个安全插件,工作就完成了

许多初学者对 WordPress 安全性了解不多,依赖插件来保证网站安全。 WordFence、MalCare 或 Sucuri 等 WordPress 安全插件是这方面的天赐之物。 它们非常有帮助,可以帮助没有经验的用户只需单击几下即可强化其网站以抵御攻击者。

然而,这并不是保证网站安全的万无一失的方法。 这些插件的影响范围是有限的,它们实际上只能锁定网站本身,而对其更大的环境没有影响力。

如果您的网站驻留在不安全的服务器上,或者您的托管帐户因弱密码而遭到破坏,您的安全插件将无法保护您的网站免受攻击。 所以,再说一次,WordPress 安全插件本身并不是一个神话,只是它们无法独自完成这项工作。

最后的误区:WordPress 安全性很复杂

“保证 WordPress 网站安全很困难”这一观念是另一个阻碍人们创建自己网站的误区。 虽然这是一个重要的话题,但它也不是火箭科学。 最后,大多数网站安全都归结为以下一些最佳实践:

  • 使用适当的托管提供商,如果您需要安全方面的帮助,请选择托管托管
  • 保持 WordPress 以及所有插件和主题的更新
  • 您的网站上只有最少的扩展程序,禁用并删除您不经常使用的扩展程序,并确保您网站上的扩展程序得到良好维护
  • 确保您的登录凭据强大并保证其安全,通过限制登录尝试和多因素身份验证来提高安全性
  • 定期备份您的网站,以便能够回滚到早期版本
  • 使用 WordPress 安全插件寻求帮助,但也要考虑他们无法控制的部分

有了这些,您的网站发生任何事情的可能性就会大大降低,即使它永远不可能为零。

您经常听到或订阅过哪些 WordPress 安全误区? 让我们在评论中知道!