如何通过 17 个步骤进行 WordPress 安全审核

已发表: 2024-11-08

WordPress 是世界上最受欢迎的内容管理系统 (CMS) 之一,为互联网上超过 40% 的网站提供支持。但是,与任何类型的软件一样,它也不能免受攻击。因此,您需要采取必要的步骤和预防措施来保护您的网站。

进行 WordPress 安全审核可以帮助您识别漏洞、防止潜在攻击并确保您的网站保持安全。您不需要聘请安全专家来完成所有这些事情 - 有很多插件可以为您自动执行一些工作。

在本指南中,我们将仔细研究为什么您应该定期进行 WordPress 安全审核。然后,我们将引导您完成 17 个步骤的流程,以有效审核您网站的安全性。那么,让我们开始吧!

为什么要进行 WordPress 安全审核?

您可能想知道是否真的有必要进行 WordPress 安全审核,特别是如果您的企业或在线商店非常小。

好吧,无论您运行的网站类型如何,此过程都很重要,原因如下。

识别漏洞和恶意软件

您网站上的任何软件都可能存在漏洞。这适用于插件和主题以及 WordPress 核心软件。

当开发人员发现插件或主题中存在安全问题时,他们会发布更新来修复它。但有时,漏洞可能需要一段时间才能为人所知,到那时,黑客就有时间利用它。

WordPress 安全审核的主要目标是在漏洞被攻击者利用之前识别并解决漏洞。例如,您可能会在网站上发现过时的插件,或者最近的主题更新存在一些安全缺陷。

但漏洞还可能包括弱密码、配置不当的设置,甚至已经渗透到您网站的恶意软件。通过进行彻底的审核,您可以发现这些问题并采取纠正措施来加强站点的防御。

防范未来的威胁

网络安全威胁在不断演变,去年有效的安全措施今天可能还不够。例如,人工智能技术的进步使黑客能够使用更复杂的软件进行暴力攻击。

定期安全审核将帮助您领先于新出现的威胁。这种主动方法可以防止代价高昂的违规和停机,从而保持您的网站平稳、安全地运行。

保护用户数据和品牌声誉

安全漏洞可能会给您的企业带来毁灭性后果。黑客可能会窃取您的所有数据,甚至删除它。

如果您的网站包含敏感的用户信息(例如信用卡号和密码),这将是一个大问题。数据泄露可能会让您陷入法律困境,除了经济负担之外,还会损害您的品牌声誉并破坏客户信任。

WordPress 安全审核有助于确保您的网站符合数据保护法规以及用户信息的安全。

进行 WordPress 安全审核的分步指南

现在您已经了解了 WordPress 安全审核的重要性,接下来让我们深入了解对您的网站进行彻底审核时可以采取的 17 个步骤。

正如您将看到的,其中大部分措施都很容易实施。另外,您还可以使用一些插件来保护您的网站。

1.确保WordPress是最新的

任何 WordPress 安全审核的第一步都是确保您的 WordPress 安装是最新的。 WordPress 定期发布更新,包括安全补丁、错误修复和新功能。

运行过时版本的 WordPress 可能会使您的网站容易受到已知安全漏洞的攻击。

要检查您的 WordPress 安装是否是最新的,请导航至管理面板中的仪表板 → 更新

WordPress 网站管理/仪表板上的更新屏幕显示无需更新。

如果有可用更新,您将看到一条通知。在更新 WordPress 之前,您需要确保您的网站已备份。这样,如果更新导致插件或主题出现兼容性问题,您可以立即将站点恢复到之前的状态。

我们将在本文稍后向您展示如何执行备份。

2.更新过时的主题和插件

过时的主题和插件是 WordPress 网站中最常见的漏洞来源之一。开发人员经常发布更新来修补安全漏洞并改进功能。因此,一旦这些更新可用,请立即运行它们。

如果您转到仪表板→更新,您可以看到所有需要更新的主题和插件的列表:

WordPress 网站管理/仪表板上更新屏幕的插件部分显示了 Jetpack Boost 所需的更新。

如果您的网站上有很多插件,请每天检查更新。或者,您可以启用自动更新。

只需转到插件主题页面,然后单击插件或主题旁边的启用自动更新即可

WordPress 网站的管理/仪表板上的插件列表屏幕显示 Jetpack 和 Jetpack Boost。

由于可能存在兼容性问题,您可能更喜欢手动运行更新。首先在临时站点上尝试它们也是一个好主意。然后,如果一切顺利,您可以在实时站点上运行更新。

3.删除未使用的主题和插件

未使用的主题和插件即使处于非活动状态也可能会带来安全风险。黑客可以利用非活动主题和插件中的漏洞来未经授权访问您的网站。

如果您的主题或插件很长时间没有更新,或者开发人员不再维护,那么风险会更大。

删除不再需要的任何主题或插件是一个好习惯。只需导航到“外观”→“主题” ,然后选择要删除的主题的“删除”选项。对于插件,请转至插件 → 安装的插件。找到您要查找的内容,然后选择“停用”→“删除”

4.检查是否安装了安全插件

可靠的安全插件是您抵御网络威胁的第一道防线。理想情况下,选择一个包含一系列功能的插件,包括恶意软件扫描、防火墙保护和登录安全。

如果您尚未安装安全插件,现在是时候安装了。而且,如果您确实安装了安全插件,那么最好检查其功能并在需要时切换到更强大的解决方案。

Jetpack Security 是保护您网站的综合解决方案。功能包括 Web 应用程序防火墙、垃圾邮件防护、自动恶意软件扫描、实时备份、暴力攻击防护、停机监控等。

jetpack.com 上的 Jetpack 安全插件页面英雄部分包含标题、段落和“保护您的网站”号召性用语。

我们将在接下来的几个步骤中仔细研究这些功能。

5. 扫描恶意软件和漏洞

WordPress 安全审核的另一个重要步骤是扫描您的网站是否存在恶意软件和漏洞。为此,您需要一个可以自动执行该过程的插件。

购买 Jetpack Security 计划后,您将可以访问 Jetpack Scan(也可以通过专用的 Jetpack Protect 插件访问)。

jetpack.com 上的 Jetpack Scan 插件页面英雄部分包含标题、段落和“获取 Jetpack Scan”号召性用语。

Jetpack 会扫描插件、主题和其他站点文件中的已知 WordPress 漏洞。如果它检测到您网站上的恶意软件或漏洞,您将收到即时电子邮件通知,以及帮助您解决大多数问题的一键修复。

Jetpack 每天都会扫描您的网站,并且该过程是自动化的。您也可以手动启动扫描。

6.审核用户角色和权限

用户角色和权限定义特定人员可以和不可以在您的 WordPress 网站上执行哪些操作。例如,具有管理员角色的用户将完全控制该站点。理想情况下,每个站点应该只有一名管理员。

角色配置不当可能会导致安全风险,尤其是当用户拥有过多权限时。而且,如果有人侵入该用户的帐户,他们将能够对网站造成严重破坏。

如果您经营一家在线商店或多作者博客,您的网站上可能有许多用户,包括客户、商店经理、作者和订阅者。但是,由于各种原因,某些人可能被分配了错误的角色,因此拥有比应有的权限更多的权限。

要查看这些角色,请导航至“用户”→“所有用户” 。在这里,您可以检查每个用户是否具有适当的访问级别。您可能还需要考虑删除或降级不再需要访问某些功能的任何用户。

7. 删除不活动的用户帐户

不活动的用户帐户可能会带来重大的安全风险,尤其是在其密码长时间未更新的情况下。黑客通常会针对不活跃的帐户,因为他们不太可能拥有强密码。

您需要定期检查并删除网站上所有不活动的用户帐户。这可以在 WordPress 仪表板的“用户”部分中完成。

您可能需要向不活跃的用户发送电子邮件,让他们知道如果他们在特定时间内不采取行动,他们的帐户将被删除。您还可以要求他们更改密码。

8. 检查密码强度和策略

弱密码是安全漏洞的主要原因。如果您的网站上有多个用户,那么风险就更大。

您需要确保每个人都使用强密码。理想情况下,它们应包含字母、数字和特殊字符的组合。长度至少为八个字符的密码更难破解。

您可以通过安装 WP 密码策略管理器等插件来强制执行强密码。该工具还允许您设置自动密码重置和到期日期,以便用户定期更新其密码。

此外,请考虑实施双因素身份验证 (2FA)。这为用户登录增加了额外的安全层,并进一步保护您的网站免受暴力攻击。

暴力攻击涉及尝试大量的用户名和密码组合来访问网站。黑客使用复杂的软件来生成这些登录凭据。

但如果他们确实获得了正确的凭据,2FA 将阻止他们登录该网站。这是因为他们需要提供发送到用户手机或收件箱的代码,而黑客无法访问该代码。

使用 Jetpack 时,您可以设置 WordPress.com 双因素身份验证。

Jetpack 插件中的 WordPress.com 登录设置,所有选项均切换为“打开”。

用户将被要求提供电话号码以验证身份。他们可以通过短信或身份验证器应用程序(例如 Duo、Authy 或 Google Authenticator)来执行此操作。

9. 评估数据库安全措施

您的 WordPress 数据库包含您网站的所有内容、设置和用户数据,使其成为攻击者的理想目标。因此,您需要确保它受到充分保护。

您可以首先检查数据库密码是否强大且唯一。然后,考虑将默认数据库前缀 (wp_) 更改为自定义的前缀。这将使攻击者更难发起SQL注入攻击。

要更改前缀,您需要访问wp-config.php文件。您可以通过托管帐户中的文件管理器或使用安全文件传输协议 (SFTP) 客户端来执行此操作。

进入站点目录后,打开wp-config.php文件并查找 $table_prefix = “wp_”; 的行。

您可以将wp_更改为您想要的任何值(或者您可以只添加数字或字母)。准备好后请记住保存更改。

现在,您需要通过托管帐户中的 cPanel 访问 phpMyAdmin。在这里,您需要更改所有默认 WordPress 表的前缀。

手动执行此操作(每次一张表)将非常耗时。因此,请单击顶部的 SQL 选项卡并输入以下 SQL 查询:

 RENAME table `wp_commentmeta` TO `wp_a123z_commentmeta`; RENAME table `wp_comments` TO `wp_a123z_comments`; RENAME table `wp_links` TO `wp_a123z_links`; RENAME table `wp_options` TO `wp_a123z_options`; RENAME table `wp_postmeta` TO `wp_a123z_postmeta`; RENAME table `wp_posts` TO `wp_a123z_posts`; RENAME table `wp_terms` TO `wp_a123z_terms`; RENAME table `wp_termmeta` TO `wp_a123z_termmeta`; RENAME table `wp_term_relationships` TO `wp_a123z_term_relationships`; RENAME table `wp_term_taxonomy` TO `wp_a123z_term_taxonomy`; RENAME table `wp_usermeta` TO `wp_a123z_usermeta`; RENAME table `wp_users` TO `wp_a123z_users`;

请记住将前缀更改为您在wp-config.php文件中设置的前缀。在上面的示例中,我们将前缀更改为 wp_a123z。

10.审查登录页面安全措施

WordPress 登录页面是暴力攻击的常见目标,因此绝对值得花一些时间来保护您的 WordPress 登录。如前所述,黑客使用专门的软件生成数千个登录凭据来尝试访问网站。

您还可以更改默认的 WordPress 登录 URL,通常是/wp-admin/wp-login.php 。这样,黑客将无法找到您的登录页面。您可以在我们的文章 — WordPress 登录 URL:如何查找、更改和隐藏它中找到有关如何执行此操作的详细说明。

只需记住为您的新登录 URL 添加书签以便于访问 - 一旦更改旧 URL,您将无法通过旧 URL 登录您的网站。

11.确保使用HTTPS协议

HTTPS 协议对访问者浏览器和 Web 服务器之间传输的数据进行加密。这样,攻击者就很难拦截敏感信息。

如果您的站点尚未使用 HTTPS,您需要获取安全套接字层 (SSL) 证书并将其安装在您的站点上。

您可以通过在浏览器中查看 URL 旁边的站点信息来检查您的站点是否使用 HTTPS。

网页位于 Jetpack.com/features/security,Web 浏览器中的安全选项视图显示连接是安全的。

在这里,您应该会看到一条通知,表明该网站是安全的。如果网站不使用 HTTPS 或具有无效的 SSL 证书,浏览器将向访问者显示警告。

大多数信誉良好的托管提供商在其计划中都包含免费的 SSL 证书。如果您的网络托管服务商未提供此服务,您可以通过 Let's Encrypt 获取免费的 SSL 证书。

让我们用标题、段落以及“开始”和“赞助”号召性用语加密网页英雄部分。

请注意,某些证书的有效期仅为一年或两年。因此,您需要记住在它们过期之前更新它们。

安全

我们守护您的网站。你经营你的生意。

Jetpack Security 提供易于使用、全面的 WordPress 网站安全性,包括实时备份、Web 应用程序防火墙、恶意软件扫描和垃圾邮件防护。

保护您的网站

12.确保已安装WAF

Web 应用程序防火墙 (WAF) 是一种重要的安全工具,可在恶意流量到达您的站点之前将其过滤掉。如果配置正确,防火墙可以阻止多种攻击,包括 SQL 注入、跨站点脚本 (XSS) 和暴力攻击。

Jetpack Security 将 WAF 作为其功能集的一部分,您只需从 WordPress 仪表板即可启用它。

选择 Web 应用程序防火墙选项的 Jetpack 安全插件设置。

该防火墙监视对您站点的每个请求并阻止可疑请求。此外,Jetpack 团队不断更新防火墙规则,以领先于新威胁。

您还可以选择阻止来自您站点的特定 IP 地址。

13.检查是否安装CDN

内容分发网络 (CDN) 是分布在多个位置的服务器的集合。通常,CDN 用于提高网站速度。这是因为它从距离访问者最近的服务器提供站点内容,从而减少延迟。

但 CDN 还可以保护您的网站免受分布式拒绝服务 (DDoS) 攻击。当恶意行为者向站点发出大量请求时,就会发生这些攻击。如果网站无法应对流量激增,它可能会崩溃并变得不可用。

CDN 可以应对流量高峰。由于它们在多个服务器之间重新分配流量,因此如果您的网站同时收到大量请求,则它不会崩溃。

一些托管提供商在其计划中提供 CDN。 Jetpack 还包括一个图像 CDN,可根据访问者的设备自动调整图像大小,并减轻服务器的显着负载。

14. 评估当前的备份和恢复解决方案

备份并不能防止攻击。但如果您的网站遇到安全威胁,它们可以让您高枕无忧。如果发生数据丢失,您可以将站点恢复到最新版本。

因此,WordPress 安全审核的下一步是检查您的备份解决方案,并在必要时实施新的解决方案。

理想情况下,您应该有实时备份,以便不断保存所有内容。如果您的站点很少发生变化,那么每日备份解决方案可能就可以了。

同样重要的是,您的备份存储在异地,即存储在服务器或托管帐户以外的地方。否则,如果您的服务器出现故障或成为黑客的目标,您可能会丢失您的网站及其备份。

您还需要确保在需要时可以轻松恢复内容。这将有助于最大限度地减少停机时间。

由于备份非常重要,因此需要实现自动化,以便您始终可以使用最新的副本。如果事情变得繁忙,您可能很容易忘记备份内容。

Jetpack VaultPress 备份实时工作。这意味着每次您对网站进行更改时,都会自动保存。

Jetpack VaultPress Backup 插件网页英雄,包含标题、段落和“获取 Vaultpress Backup”页面。

Jetpack 还将您的备份存储在异地、基于云的安全位置。它还提供一键恢复功能,也可以通过应用程序访问,因此,如果您的网站确实出现故障,您可以立即将其恢复并运行 - 即使您不在计算机旁或无法访问您的网站根本不。

15.评估您的托管提供商的安全功能

您的托管提供商在 WordPress 网站的安全中发挥着至关重要的作用。如果他们的服务器环境不安全,可能会对托管在其上的任何网站产生负面影响。

在审核期间,评估托管提供商提供的安全工具。其中可能包括服务器端防火墙、DDoS 防护和恶意软件扫描等功能。

如果您登录您的托管帐户,您应该能够看到有哪些工具可用。您可以随时联系您的托管提供商,询问他们是否采取了任何预防措施。

如果您发现您的托管计划缺乏多项安全要素,您可以考虑切换到更安全的主机。 Jetpack 拥有一系列值得信赖的托管提供商,它们非常重视网站安全。您可能还需要考虑托管 WordPress 托管提供商,它们通常会代表您采取许多安全措施。

16. 审核中发现的文件问题

在进行安全审核时,记录您发现的任何问题或漏洞。此信息将作为解决问题的参考点,并可以帮助您跟踪一段时间内的进度。

包括每个问题的严重性、解决问题所需的步骤以及该过程中使用的任何工具或插件等详细信息。这将帮助您确保没有遗漏任何内容,并且所有漏洞都得到正确解决。

另外,如果您决定聘请 WordPress 专家来保护您的网站,他们会根据您的发现清楚地知道需要做什么。这样,您就可以避免在实施必要措施时出现任何延误。

17. 创建解决安全问题的路线图

识别并记录站点上的安全问题后,下一步也是最后一步是创建解决这些问题的路线图。

根据问题的严重性和对站点的潜在影响确定问题的优先级(如上一步中所述)。过时的软件或恶意软件感染等问题应立即解决,不太严重的问题可以稍后解决。

拥有清晰的路线图将帮助您从最关键的问题开始系统地提高站点的安全性。

常见问题

在这篇文章中,我们介绍了 WordPress 网站的所有安全要点。但您可能仍然对审核中的某些措施或 WordPress 网站面临的威胁有一些疑问。

让我们回答一些最常见的问题。

什么是 WordPress 安全审核?

WordPress 安全审核是对您网站的安全措施的全面审查。它旨在帮助您识别站点上的漏洞和问题,并采取必要的步骤来减轻潜在威胁。

审核应涵盖 WordPress 网站的所有方面,包括软件更新、用户权限、数据库安全、登录密码等。目标是确保您的网站尽可能安全并保护其免受网络攻击。

我应该多久进行一次 WordPress 安全审核?

安全审核的频率取决于站点的规模和复杂性。您需要考虑更改内容的频率。

通常建议至少每季度进行一次安全审核。当然,如果您有一个基本上静态的网站,并且您是唯一有权访问后端的用户,那么每年或每两年一次的审核就足够了。

应该更频繁地执行此 WordPress 安全审核中列出的一些步骤。例如,每次安装新主题或插件,或发布新帖子时,都应该备份网站。

同样,您需要每天或每周检查网站是否有更新,而不是等到下一次安全审核。

WordPress 网站中最常见的漏洞有哪些?

WordPress 网站中一些最常见的漏洞包括:

  • 过时的软件。运行过时版本的 WordPress、主题或插件可能会使您的网站容易受到已知漏洞的攻击。
  • 弱密码。弱密码或容易猜到的密码是攻击者的常见入口点。
  • 不安全的登录页面。默认的 WordPress 登录页面是暴力攻击的常见目标。
  • 用户角色配置不当。向用户分配过多的权限可能会增加意外或恶意更改的风险。
  • 未受保护的数据库。具有弱密码或默认前缀的数据库容易受到 SQL 注入攻击。

您可以阅读我们有关 WordPress 安全问题和漏洞的完整指南,以了解有关这些问题以及如何修复这些问题的更多信息。

建议使用哪些工具进行 WordPress 安全审核?

有多种工具和插件可用于 WordPress 安全审核。但理想情况下,您会选择像 Jetpack Security 这样的一体化解决方案。这样,您就不需要安装和配置多个插件来保护您的站点。

Jetpack 包含多种安全功能,包括恶意软件和安全扫描程序。它还通过一键恢复对您的站点执行实时云备份。其他功能包括 Web 应用程序防火墙、垃圾邮件防护等。

是否有可以增强 WordPress 网站安全性的自动化工具?

是的! Jetpack Security 提供了检测和解决各种最常见问题的工具。它包括自动恶意软件扫描、防火墙保护和暴力攻击保护。它持续监控您的站点是否存在潜在威胁,并可以采取自动措施来缓解这些威胁。您还将获得实时执行的自动备份。

如何监控我的 WordPress 网站上的用户活动?

监控用户活动是维护网站安全的重要组成部分。通过跟踪用户在您网站上的行为,您可以识别任何可疑行为并在必要时采取行动。

当然,您不可能一直观看您的网站。您需要一个为您记录用户活动的工具。

Jetpack 提供活动日志,记录用户在您的网站上执行的每个操作。它提供每个事件的详细信息以及时间戳。

这样,如果您的网站遇到错误或安全问题,您可以参考活动日志并查找可能触发它的用户操作。

如何确定我的 WordPress 网站是否已被黑客攻击?

有多种迹象表明您的 WordPress 网站可能已被黑客攻击。这些包括:

  • 您的网站上有不熟悉或未经授权的内容
  • 流量无法解释的增加,尤其是来自异常来源的流量
  • 在服务器或内容没有任何更改的情况下,网站性能明显下降
  • 新的、未经授权的用户帐户出现在您的管理面板中
  • 来自搜索引擎的警告表明您的网站可能受到威胁

当然,这些问题背后可能还有其他罪魁祸首。例如,其他管理员可能在您不知情的情况下添加了用户。或者,他们可能安装了一个编码繁重的插件,导致您的网站速度减慢。

如果您是唯一的管理员,并且其他人都无法访问您网站的后端,那么上面列出的问题可能更值得关注。

如果您怀疑您的网站已被黑客入侵,您需要立即采取行动。您可以按照我们的指南了解您的 WordPress 网站遭到黑客攻击时该怎么做。

如何修复被黑的 WordPress 网站?

如果您的 WordPress 网站遭到黑客攻击,请务必迅速采取行动以最大程度地减少损失。

第一步是确定违规来源。 Jetpack 的活动日志可以帮助您解决此问题。

一旦确定了罪魁祸首,您应该删除所有恶意代码,更新所有密码,并确保您的软件是最新的。如果用户是违规行为的幕后黑手,您将需要删除他们的帐户,并可能将其 IP 地址列入黑名单。

查看有关如何清理被黑 WordPress 网站的详细指南。

安全审核后我可以采取哪些步骤来维持持续的安全?

完成安全审核后,实施持续的安全实践以确保站点安全非常重要。这些实践包括本指南中介绍的一些步骤:

  • 使 WordPress、主题和插件保持最新
  • 使用活动日志监控可疑行为
  • 实施需要强而独特的密码的策略
  • 确保定期备份您的站点,并且备份存储在异地
  • 使用双因素身份验证为用户登录添加额外的安全层
  • 安排定期安全审核以识别和解决新漏洞

通过执行以下步骤,您可以保持 WordPress 网站的高安全级别并保护其免受潜在威胁。

Jetpack Security:实时 WordPress 安全扫描和备份

Jetpack Security 提供了一套全面的工具来帮助您保护 WordPress 网站。其中包括实时恶意软件扫描、实时备份和暴力攻击防护。大多数这些过程都是自动化的,可以更轻松地保护您的网站安全。

您还将获得网络应用程序防火墙以及评论和表单垃圾邮件防护。此外,Jetpack 的活动日志将帮助您识别站点上触发错误或导致安全漏洞的任何操作或事件。

您准备好提高网站的安全性了吗?立即开始使用 Jetpack Security!