顶级 WordPress 安全错误以及如何修复它们 - MalCare

已发表: 2023-04-13

WordPress 安全错误:您知道吗,每分钟大约有 90,978 次黑客尝试在 WordPress 网站上进行? 一旦您的网站遭到黑客攻击,黑客就会使用它来执行各种恶意活动,例如发送垃圾邮件(阅读 - 网络钓鱼黑客)、攻击其他网站、注入垃圾邮件链接、重定向访问者等。

这就是为什么像您这样的 WordPress 网站所有者必须认真对待他们的安全问题。 没有可以用来解决所有安全需求的灵丹妙药,而是您需要正确地做很多事情。 在 Internet 上,有无数关于如何确保站点安全的建议。 其中有些是相互矛盾的建议,有些只是过时了。 关于网站所有者应该做什么和不应该做什么的众多意见会带来混乱,在所有这些混乱中,错误是不可避免的。

维护站点的安全性并非易事,尤其是对于容易犯错误的新站点所有者而言,这些错误可能会使他们容易受到常见的黑客攻击。 了解网站所有者常犯的安全错误将有助于避免这些错误。 这就是我们提出此列表的原因,以便可以停止犯大多数 WordPress 网站所有者所犯的错误。

网站所有者常犯的 WordPress 安全错误:

我们建议在采取以下任何措施之前运行 WordPress 安全审计 –

1. 不更新 WordPress 核心、插件和主题

保持 WordPress 核心和附加组件(即主题和插件)更新是一个很好的安全措施。 更新它们不仅可以为站点添加更多功能,还可以帮助修补漏洞。 由于 WordPress 所处的生态系统,有关漏洞的消息传播得非常快,黑客试图利用这种情况。 如果您不更新有助于修补漏洞的网站,您的网站将变得很容易被入侵。

虽然一些网站所有者不更新他们的网站,因为他们不知道更新如何与安全相关联,但其他人则担心不兼容。 更新 WordPress 核心及其附加组件后,WordPress 网站可能会崩溃。

WordPress 升级旨在与所有以前的版本兼容。 因此,如果您的站点运行的是 4.1 版,您仍然可以将其更新到最新版本,例如 4.9。 但是尽管采取了所有预防措施,每次更新都会带来网站崩溃的消息。 这是最新的 WordPress 版本 4.9.6 中的示例

在更新 WordPress 附加组件(即主题和插件)时,您可能会遇到类似的问题。 主题和插件中经常出现不兼容问题,因为开发人员匆忙发布新更新或者开发人员不称职。 插件和主题的市场竞争非常激烈,为了脱颖而出,开发人员被迫在最短的时间内添加越来越多的新功能。 有时他们没有足够的时间来查看该版本是否与以前的每个 WordPress 版本兼容。 因此,如果有人使用非常早的 WordPress 版本,并更新了一个仅适用于最新的几个 WordPress 版本的插件,他的网站就会崩溃。

围绕 WordPress 核心和附加组件之间的兼容性问题的担忧可能会导致网站所有者跳过安全更新。

如何解决这个问题:暂存服务可以解决这个问题。 为了测试 WordPress 核心及其附加组件的安装而创建重复站点的过程称为暂存。 BlogVault之类的备份服务甚至Kinsta之类的 Web 主机提供商都提供暂存环境。 请咨询您的网络托管服务商或备份服务(如果您正在使用),看看他们是否可以选择暂存网站。 如果没有,则注册一项允许您暂存站点的服务。

除了更新您的插件、主题和核心之外,我们强烈建议您更新您的 WordPress 盐和安全密钥。

2. 使用劣质插件

并非所有的 WordPress 插件和主题都制作精良。 有些忽略了质量保证检查,而另一些则是由业余程序员开发的。 重要的是,用户要注意他选择使用或购买的东西。 但不幸的是,许多 WordPress 用户没有任何技术知识,这使他们无法了解插件或主题的好坏。

如何解决这个问题:为了帮助这些用户,我们列出了一些有助于发现好的主题或插件的特征:

我。 确保您从 WordPress 插件存储库等知名来源或 Elegant Themes、Themeforest 等热门卖家处获取附加组件。

二. 确保附加组件在 WordPress 存储库中具有良好的评级,并由在其网站上使用过该主题/插件的人进行审查。 快速谷歌搜索将帮助您找到评论。

三. 确认该插件已经存在很长时间并且经受住了时间的考验。 查找 WordPress 存储库或官方网站中列出的安全更新和错误修复。

四. 并确保它们经常更新,并且最近的更新是在不到 2 个月前进行的。

3. 使用非法插件和主题

许多网站免费出售高级主题和插件。 使用这些免费产品可能会带来灾难,因为其中许多 WordPress 附加组件都被故意注入了恶意软件。 将这些非法插件安装到您的网站就像打开大门并邀请黑客访问您的网站。 一旦攻击者设法使用您刚刚安装的主题/插件中的错误代码闯入您的站点,他们将使用您的站点执行许多恶意活动,例如发送垃圾邮件或攻击其他站点。 此外,如果您的网站上有恶意软件,则会将其视为受到损害,这会导致托管服务提供商暂停您的帐户搜索引擎(例如 Google)将您的网站列入黑名单,并暂停您的 AdWords 帐户。

如何解决:ThemeForest Elegant Themes等热门市场购买原创主题和插件。在促销期间,可以以低得多的价格购买主题和插件。 可以寻找我们选择的主题或插件的官方网站。

4. 在您​​的网站上保留未使用的插件和主题

在网站上保留未使用的主题和插件为黑客提供了渗透您网站的机会。 许多站点所有者不更新不活动的附加组件,因为他们不知道安全优势。 对他们来说,更新带来了新功能,并且由于他们没有使用插件,他们认为他们不需要新功能。 如果发布更新以修补漏洞,那么在您更新之前,您的网站仍处于风险之中。

如何解决这个问题:这里唯一的解决方案是摆脱不活动的 WordPress 主题和插件。 就是这样:

从您网站的 WordPress 仪表板访问“已安装的插件”页面。

WordPress 安全错误

在该页面中,有一个名为“非活动”的选项。 选择那个。

WordPress 安全错误

它会转到另一个页面,您可以从中删除不活动的插件 但在点击“非活动”按钮之前,我们建议您确保在不久的将来不需要该特定插件。

WordPress 安全错误

5. 使用不良的网站登录做法

两种常见但非常危险的登录做法是使用易于猜测的登录凭据,并且在不使用站点时不注销。 攻击者对机器人进行编程,这些机器人尝试结合使用易于记忆的用户名(如 admin)和密码(如 password123)来登录您的网站,从而入侵网站。 这种入侵网站的奇特方法称为蛮力攻击。

如何解决这个问题:建议您使用唯一的用户名和密码(推荐阅读 – WordPress 登录页面保护指南)。 这里的一个缺点是独特的凭据很难记住。 因此,您必须维护一份载有这些凭证的文件。 并确保文档已加密以防止未经授权的访问。

6. 给每个用户管理员权限

让每个用户都成为管理员不是一个好主意,尤其是对于有大量用户且网站所有者不认识的网站。 WordPress 允许网站所有者为用户分配以下角色——管理员、编辑、作者、贡献者、订阅者、SEO 经理、SEO 编辑。 让每个人都成为管理员是有风险的,因为它授予对站点所有区域的访问权限。

允许用户不受限制地访问整个站点会导致利用,如TechCrunch (一个流行的技术站点)在本例中所见,他们被 OurMine(一个黑客组织)攻击了。 在获得用户帐户访问权限后,OurMine 能够在网站上发帖。 这是 TechCrunch 被黑后读者醒来时的主页截图:

WordPress 安全错误WordPress 安全错误WordPress 安全错误

如何解决这个问题: WordPress 上的每个用户角色只允许访问网站的特定区域。 根据您需要用户在您的站点上执行的操作,您可以分配这些角色。 遵循这一原则可确保只有您信任的人才能访问整个站点。 如果出了什么问题,你知道谁该负责。

7. 不做备份

备份是您的安全网。 当灾难来临时,没有一个到位可能会给您带来麻烦。 如果您的网站遭到黑客攻击并且帖子被删除,您可以使用备份轻松地将您的网站恢复正常。 但不建议只使用任何备份服务,因为许多备份服务效率不高。 例如,许多备份插件将备份存储在您的 Web 服务器中。 其中一些将备份存储在一个地方。 您的网站服务器不是存储备份的理想场所,因为服务器承担了在执行常规流程之上进行备份的负担。 它会降低您的网站速度。 只存储一个备份意味着如果您丢失了那个备份,您将没有其他备份可以依靠。

如何解决这个问题:在选择备份服务之前,检查功能以查看它们存储备份的位置。 如果找不到合适的信息,请给他们发邮件,直接询问他们存储备份的位置以及是否将其存储在多个位置。 要了解有关如何选择可靠备份的更多信息,请查看这篇文章

8. 不使用安全服务

许多网站所有者,尤其是那些拥有流量较低的小型网站的所有者,认为他们的网站微不足道,因此不会引起黑客的注意。 但是今天的黑客有充分的理由攻击小型网站 他们可能用它来存储文件或发送垃圾邮件等。 事实上,许多黑客组织更喜欢攻击小型网站,因为小型网站对其安全性松懈,因此更容易被黑客入侵。 他们发起大规模的暴力攻击,机器人试图猜测正确的用户名和凭据以闯入网站。 最受欢迎的黑客技术之一涉及利用易受攻击的插件和主题。

如何解决这个问题:标准的安全服务提供基本的安全功能,如 WordPress 防火墙,有助于防止黑客暴力破解您的网站。

除了采取上述措施来修复您的网站外,您还可以采取更多的安全措施。 我们强烈建议遵循本指南 – 使用 wp-config.php 保护您的 WordPress 站点。

每当插件或主题甚至核心出现漏洞时,开发人员都会通过更新发布补丁。 因此,保持所有主题、插件和 WordPress 核心更新是一个很好的安全实践。 MalCare – 最好的 WordPress 安全插件之一提供站点管理功能,允许您从 MalCare 仪表板更新插件、主题和 WordPress 核心。 这对需要维护许多网站的人特别有帮助。 登录每个网站并更新主题、插件和核心是一项耗时的工作。 MalCare 等服务使网站所有者更容易遵循良好的安全实践。

除了防火墙和站点管理,安全插件还提供日常扫描服务。 如果您的网站感染了恶意软件,该插件将帮助您修复被黑的网站。 如果您对直接为您提供 WordPress 网站维护服务以全面管理您的网站安全的团队感觉更舒服,WP Buffs 将是一个不错的选择。 他们负责更新、安全、网站速度和持续编辑,无论您管理的是 1 个网站还是 1000 个网站!

接下来是什么?

使用一个好的 WordPress 安全插件是构建安全网站或保持 WordPress 安全的第一步。您可以采取更多的安全措施,包括 IP 阻止、保护登录页面,并遵循有关 WordPress 安全的完整指南以进一步了解如何保护您的 WordPress 网站。

如果您过去犯过这些错误中的任何一个,希望这篇文章能帮助您了解您做错了什么以及如何解决这些错误。 我们欢迎您就这些 WordPress 安全错误及其修复提出任何问题。 请通过我们的联系我们页面与我们联系