如何进行 WordPress 安全审计 - 8 个简单步骤 - MalCare
已发表: 2023-04-19曾几何时,您坐下来对您的网站进行了完整的 WordPress 安全审核。 这不是您想象中的事情,但您这样做是为了阻止邪恶的黑客。
- 你继续在你的网站上安装了一个 WordPress 安全插件,因为专家们是这么说的。
- 您更新了所有 WordPress 插件和主题,因为您确切地知道如果不这样做会发生什么。
- 您阅读了网站强化措施,并实施了那些持续有效的措施。
简而言之:您 100% 确定您的网站是安全的,不会受到黑客的攻击。
然后,几个月后,你醒来时以为一切如常……
才发现你的网站被黑了。
它可以是任何东西。 它可能是恶意重定向到另一个站点。 或者您可能会发现您的网站上有弹出窗口,试图出售与您的业务完全无关的东西。
那是当您意识到您未能保护您的网站时。
这是大多数 WordPress 网站所有者面临的情况。 如果这就是您面临的问题,那么您就找到了正确的文章。
事情是这样的:您唯一的错误是您认为 WordPress 安全审计是一次性活动。 当您勾选列表中的所有方框时,您认为一切都已完成并尘埃落定。
事实上,您的网站安全就像广告一样 — 它是一项持续的活动。 您不会停止为您的业务做广告,对吗?
网站安全工具和预防措施在不断进步,但黑客不会坐以待毙,任由您控制您的业务。 这是你的事,你必须每天为之奋斗。
WordPress 安全审核是确定哪些有效哪些无效的最简单方法。 您的安全措施是否过时?
如果没有每 3 个月进行一次 WordPress 安全审核,黑客入侵您的网站并破坏您的业务的可能性就会高得多。
但别担心,这一切都可以通过确保您的安全措施是最新的来避免。 今天,我们将向您展示如何在您的网站上成功运行 WordPress 安全审核的步骤。
TL;DR:为了完全保护您的 WordPress 网站,我们建议使用安全插件。 安装 MalCare 以定期扫描和监控您的网站。 它还会阻止对您网站的黑客攻击。 是的,它还会每天自动为您进行 WordPress 安全审计。
什么是 WordPress 安全审计?
大多数 WordPress 网站迟早会遇到安全问题。 例如,插件和主题可能会产生漏洞,黑客可以利用这些漏洞侵入您的网站。
一旦他们获得对您网站的访问权限,他们就可以转移您的流量、显示非法内容和广告、欺骗您的客户并窃取个人数据,以及一长串恶意行为。
WordPress 安全审计可以帮助及时识别这些问题,以便您可以采取措施来弥补您网站上的任何安全漏洞。 当您运行安全审核时,您将检查您网站上现有的安全措施。 然后确定您可以在您的网站上实施哪些更多的安全措施以确保它受到保护。
完整的安全审核可能涉及多个步骤,如果您没有适当的流程和清单,可能会变得一团糟。
现在,您很可能之前已经完成了 WordPress 安全审核。 本文的目的是帮助您设置一个流程,您可以在每 3 个月结束时重复一次。 理想情况下,应该每天进行一次 WordPress 安全审计。 但为了安全起见并且仍然合理,我们建议每个月都这样做。
今天,我们将带您逐步了解我们的 WordPress 安全审核指南。 此审计跟踪将使您能够对您的网站进行完整而全面的审计。
如何运行成功的安全审计
在此审核中,我们将彻底审查您网站的安全性。 让我们开始。
- 评估您的安全插件
- 测试您的 WordPress 备份解决方案
- 检查您当前的管理员设置
- 删除未使用的已安装和活动的插件
- 删除安装的额外 WordPress 主题
- 评估您当前的托管服务提供商和计划
- 检查具有 FTP 访问权限的用户
- 检查您的 WordPress 加固措施
1. 评估你的安全插件
您网站的安全插件是您的第一个检查点。 如果您还没有使用安全插件,请考虑立即在您的网站上激活一个。 安全插件保护 WordPress 网站免受黑客和机器人的攻击。 有很多选项可供选择。 但并非所有这些都有效,因此您必须选择正确的安全插件。 以下是您的安全插件必须提供的功能列表:
1. 恶意软件扫描——黑客总是在寻找易受攻击的插件。 我们强烈建议使用每天扫描您网站的插件。 它应该进行深度扫描,检查您网站的每个文件和文件夹,包括您的数据库。
2.异地扫描——扫描过程需要大量的服务器资源才能运行。 如果插件使用您自己的服务器,扫描可能会使您的网站超载并导致其速度变慢。 寻找一个使用自己的服务器来扫描您网站的插件。
3. 防火墙——您的网站需要一个防火墙,它会主动阻止黑客和恶意机器人以及试图闯入您网站的 IP 地址。 要设置防火墙,您需要技术专业知识。 但是,您可以找到为您安装和激活它的安全插件。
4. 登录保护——黑客经常攻击您的登录页面并尝试使用不同的用户名和密码组合来闯入您的网站(称为暴力攻击)。 安全插件应该能够阻止此类攻击。
5. 实时警报——如果您的网站上有可疑活动,插件会检测到并立即提醒您。 这使您能够迅速采取行动。
6. 恶意软件清理——一个好的安全插件可以让你快速清理你的网站。 它应该能够完全清理您的网站。
7. 活动日志——WordPress 安全审核日志跟踪用户在您网站上的活动,例如谁登录、登录尝试失败的详细信息、WordPress 用户在网站上做了什么。 当您想弄清楚您的网站是如何被黑客入侵或进行了哪些更改导致其出现故障时,活动日志会派上用场。
如果您觉得您的安全解决方案无效,您可以从可用的顶级安全插件中进行选择。
我们建议使用 MalCare,因为它涵盖了所有这些功能。 它拥有最好的恶意软件扫描程序之一,可以检测任何类型的恶意软件。 此外,您可以在几分钟内清除任何恶意软件感染!
2. 测试您的 WordPress 备份解决方案
如果出现任何问题,备份您的 WordPress 网站会派上用场。 您可以轻松恢复备份并让您的网站恢复正常。
但是,如果备份失败会怎样? 如果无法恢复会怎样?
这就是您需要测试备份的原因。 如果您使用主机备份,其中一些不提供测试选项。 以下是我们建议您测试备份的内容:
在您的 WordPress 网站上安装 BlogVault 备份插件。 它会自动对您的站点进行完整备份。
请注意,第一次备份可能需要一段时间,因为它将整个网站复制到自己的服务器上。 后续备份速度要快得多,因为它使用增量技术,仅备份所做的更改。
备份完成后,从 BlogVault 仪表板访问“测试还原”选项。
3. 检查您当前的管理员设置
WordPress 允许多人协作并为 WordPress 开发和 WordPress 维护做出贡献。 但并非每个 WordPress 用户都需要完全访问该站点。 例如,作家只需要访问来编写和发布内容。 他们不需要访问权限来进行其他更改,例如安装插件或更改主题。
为防止为您站点上的每个用户提供完全访问权限,WordPress 有六种不同的用户角色可供您分配——超级管理员、管理员、编辑、作者、贡献者和订阅者。 每个角色都有不同级别的权限。
在进行 WordPress 安全审核时,您需要分析的第一件事是您添加到 WordPress 站点的用户。
- 检查其中有多少用户具有管理员访问权限。
- 确定有多少实际需要管理员访问权限。
- 通过更改不需要成为管理员的用户角色来限制访问并授予较低的权限。
- 确保您可以识别仪表板上的所有用户。 删除您不认识的所有用户,因为他们可能是黑客创建的恶意用户帐户。
接下来,确保您网站上的任何管理员都没有使用用户名“admin” 。 这是 WordPress 管理员最常用于其帐户的用户名。 黑客很清楚这一点,并尝试使用该名称来访问您的站点
要将名称从“admin”更改为更独特的名称,您需要先为该人创建一个新的用户帐户。 您可以将所有内容分配给您创建的新 WordPress 用户。 接下来,您可以删除旧的“管理员”帐户。
4.删除未使用的已安装和活动插件
使用 WordPress 十多年,我们已经看到许多 WordPress 网站因易受攻击的插件而被黑客入侵的案例。
WordPress 插件由维护和更新它们的第三方开发人员创建。 但是,与任何软件一样,随着时间的推移,漏洞也会出现。 开发人员通常会及时修复它们并发布更新。 此更新将包含一个安全补丁,可消除您网站上的漏洞。
如果您延迟更新,那么您的网站仍然容易受到攻击。
- 在审核期间,检查您已安装的插件列表。 我们中的许多网站所有者都倾向于尝试新的主题和插件。 我们不使用其中的大部分,但忘记了它们仍然安装在我们的网站上。 删除您不使用的插件。 这将从您的站点中删除不必要的元素,并减少黑客侵入您的站点的机会。
- 确保您识别所有已安装的插件。 如果您或您的团队无法识别任何插件,我们建议您将其删除。 这是因为当黑客入侵您的网站时,他们有时会安装自己的插件。 这些插件包含后门,可以让他们秘密访问您的网站。
- 如果您安装了盗版或作废的插件,请立即删除。 此类软件通常包含恶意软件,会在您安装时感染您的网站。 黑客使用盗版软件来分发他们的恶意软件。
现在您只有您使用的插件,请确保在开发人员发布更新时更新它们。
5.删除安装的额外WordPress主题
作为网站所有者,我们倾向于安装不同的主题以找到我们喜欢的主题。 然而,很多时候,我们忘记删除那些我们不需要的。 就像插件一样,主题也会产生漏洞。
我们建议删除所有其他主题并仅保留您正在使用的主题。 确保您使用的是活动主题的最新版本。
6.评估您当前的托管服务提供商和计划
多亏了共享主机,更多的人可以在没有大笔投资的情况下创建网站。 共享托管计划更便宜,并且专为小型 WordPress 网站量身定制。
您可能在开始时选择了共享主机计划,但随着您的成长,您需要评估是否需要升级。
共享托管计划意味着您与其他网站共享服务器。 您无法控制共享您服务器的其他网站的行为。 如果他们的站点被黑客入侵,它可能会消耗过多的服务器资源。 这会减慢您的网站速度并降低其性能。 任何恶意软件感染也有可能传播到共享同一服务器的站点。 因此,如果您负担得起升级费用,我们建议您切换到专用服务器。
如果您对当前主机的服务不满意,您可以比较不同的主机,看看是否要将您的网站迁移到更好的主机。
7.查看有FTP访问权限的用户
FTP 是文件传输协议,可让您将本地计算机连接到您的网站服务器。 您可以访问网站的文件和文件夹并进行更改。
由于您可以添加、修改和删除 WordPress 站点的文件,因此应该只向您信任且绝对需要访问权限的人授予对 FTP 的访问权限。
如果需要,我们建议您检查 FTP 用户列表并重置您的 FTP 密码。 为此,您需要访问您的 WordPress 主机帐户 > cPanel > FTP 帐户。
在这里,您将看到为您的网站创建的所有 FTP 帐户的列表。 您可以删除不需要访问权限的那些。
8. 检查你的 WordPress 加固措施
WordPress 推荐某些强化措施,使您的网站更安全。 这些包括:
- 在插件和主题中禁用文件编辑器
- 禁用插件安装
- 重置 WordPress 密钥和盐
- 强制使用强密码
- 限制 WordPress 登录尝试
- 实施双重身份验证
如果您需要更多指导,我们建议您阅读我们的WordPress 强化综合指南。
在您的 WordPress 安全审计期间,我们建议检查这些措施是否到位。 例如,如果您使用插件来限制登录尝试或 2 因素身份验证,请确保该插件仍然有效并且是最新的。 检查是否有更好的选择。
许多强化措施需要技术专长才能实施。 但是,如果您使用的是 MalCare 安全插件,则只需单击几下即可实施 WordPress 强化措施。
这是需要定期执行的八项非常重要的任务。 我们建议每半年或至少每年进行一次审计。 为了总结我们所涵盖的内容,您可以遵循以下清单:
WordPress 安全审计清单
1. 安全插件——评估你的安全插件。 我们建议使用 MalCare。
2. WordPress 备份 –测试您的网站备份以确保它可以恢复。 我们建议使用 BlogVault 的测试恢复选项。
3. 管理员用户——检查您当前的管理员设置。 确保您只向需要的人授予管理员权限。 删除任何非活动用户。
4. 插件 –删除未使用的已安装和活动插件。 只保留您实际使用的插件,并确保它们定期更新。
5. 主题——删除安装的额外 WordPress 主题。 仅保留您网站上的活动主题,并确保您使用可用的最新版本。
6. 虚拟主机——评估您当前的托管服务提供商和计划。 我们建议使用受信任的网络主机和专用服务器计划。
7. FTP –检查具有 FTP 访问权限的用户。 仅向需要的人授予访问权限。
8. 强化——确保您的 WordPress 强化措施完好无损且是最新的。
最后的想法
我们希望本文能帮助您为 WordPress 安全审计创建可重复的流程。 如果您能定期执行此过程,我们保证您可以防止黑客绕过您的站点安全。
是的,完整的 WordPress 安全审计是一个漫长而乏味的过程。 但事实是,它可以帮助长期保护您的业务。
如果您认为 WordPress 安全审核过于繁琐,您可以通过安装 MalCare 插件来自动化该过程。 与大多数其他网站安全插件不同,MalCare 提供了一套全面的安全工具,其功能远不止 WordPress 安全审核。
MalCare 可自动执行许多繁琐的手动安全活动,例如恶意软件扫描和删除、定期站点备份、安装防火墙和机器人保护以及 WordPress 强化。
您只需在最先进且易于使用的仪表板中单击几下,即可完成所有这些工作。
使用MalCare保护您的 WordPress 网站!