安全的 WordPress 托管：全面锁定！

已发表: 2017-03-15

安全 WordPress 托管是一个近来被广泛使用的术语。但这究竟是什么意思？企业托管解决方案在安全性方面提供了什么，而常规托管却没有？我们将深入研究这些问题并确定安全托管环境背后的设计原则。有了这些信息，您将能够在为您的企业研究托管解决方案时做出有根据的猜测！

常规托管与企业托管安全

定期托管有点像狂野西部。您的网站托管在一台机器上，运行某个版本的 Web 面板软件，允许 SSH 连接，然后一切顺利。

托管环境通常不会被锁定，因此成功的攻击者可以访问系统的所有文件，包括与客户相关的文件。这意味着如果攻击者可以访问与您自己的服务器托管在同一台服务器上的网站，他或她也很有可能访问您自己的文件。

系统的安全性与其最薄弱的环节一样强大。在共享托管环境中，您与托管在该系统中的最不安全的网站一样安全。

什么是安全托管环境？

现代安全托管环境必须遵守以下设计要点：

过滤：应针对“异常”请求和远程攻击签名过滤流量。数据应该被净化。
细粒度的访问控制：权限和访问控制应该分层，没有不必要的额外权限。
进程隔离：一个进程（运行应用程序或系统）不能改变或修改另一个进程的完整性。
不要相信客户端发送给你的任何东西：默认情况下可疑地对待所有传入的请求。
精简的必需品环境：不必要的安装软件通常是一个弱点。安装在环境中的所有软件都应该有明确的存在理由。

此外，在高可用性 n 层架构中，安全性设计是不同的。每个层都是单独配置的，具有不同的安全机制和策略。当攻击者控制 Web 服务器时，他将无法获得对其他层的进一步访问，例如数据库。简而言之：一台机器的妥协不会危及整个系统的安全。

Pressidium 的安全 WordPress 托管

我们不必多说。我们非常重视安全。我们的平台跨多个不同层实施安全机制。我们努力推广当今存在的最佳 WordPress 安全实践。让我们看看引擎盖下有什么！

受限制的 PHP

我们的网络服务器运行一个锁定版本的 PHP，它只能执行 WordPress 相关的功能，不能执行其他任何操作。

预配的 WordPress 安装

您网站的 WordPress 安装无法修改（即使您自己也无法修改），并且平台会不断检查其完整性。 PHP 编译器在用户空间中运行，在特定用户的 chroot 监狱下。这意味着即使恶意攻击者获得了站点的超级用户访问权限，他或她也只能访问与该站点相关的文件，而不是您的或系统的文件。

Chrooted（监禁）环境

在我们的平台上运行的所有东西都与不同级别的受限（chroot）环境分层。 chroot 环境通过修改根目录的位置来限制正在运行的进程的文件系统。然后没有任何东西可以更改该根目录之外的文件。每个进程都在自己的孤岛中，不能“看到”或“触摸”除此之外的任何东西（这也意味着你的文件）。我们的平台实现了三个不同级别的 chroot 环境：

每个站点
每个用户
每个进程

WordPress 更新层

我们的WordPress 安全更新可确保您始终使用最稳定的 WordPress 版本保持最新状态。我们会根据需要更新插件和主题，并且仅在出现安全威胁时更新。我们也不会随机更新软件，或不另行通知。一切都与您个人协调。

虚拟补丁层

如果您绝对必须保留旧的和过时的插件，即使它们已知易受攻击，您也可以使用我们的 WAF Web 应用程序防火墙的虚拟修补机制。此机制拦截来自已知漏洞的攻击。因此，过时且易受攻击的插件可以继续按预期运行而不会带来安全风险。

OWASP 过滤

我们的 Web 应用程序防火墙是按照 Varnish 安全防火墙模型设计的。使用OWASP规则和过滤器，防火墙可以防止攻击者访问您网站的弱点。此外，如果攻击者在拒绝服务攻击中启动多个连接，则攻击 IP 将受到限制。如果任何攻击持续存在，我们会在地理范围内实施封锁，必要时甚至在整个国家/地区实施封锁。

恶意软件和漏洞扫描

我们使用 NIST 的国家漏洞数据库等资源来扫描我们保存的每个数据，以查找恶意软件、漏洞利用和已知安全问题。我们托管一个特定的数据库，其中包含有助于检测传入攻击的数据签名。

暴力攻击禁令

如果攻击者反复尝试测试凭据，我们的平台会检测到这些攻击并在防火墙层禁止 IP 地址。

WordPress 安全是我们的愿景

我们认为 WordPress 的安全性很重要，因为它发生在大多数重要的事情上，需要认真努力才能正确地做到这一点。这就是我们将配置、健全性检查和过滤构建到我们平台核心的原因。我们对安全 WordPress 生态系统的愿景很大，我们将及时与世界分享更多细节。但就目前而言，我们需要关注那些让您的 WordPress 业务更强大、更少痛苦的日常小事！