WordPress 更新:为什么更新对网站安全很重要

已发表: 2023-04-19

想知道如何安全地在您的 WordPress 网站上实施安全更新?

安全更新非常重要。 延迟实施更新可能会导致您的网站被黑客入侵。 但是很多时候更新会导致兼容性问题,从而破坏您的网站。

这是一个陷阱 22 的情况。

幸运的是,有一种方法可以在不破坏网站的情况下更新您的网站。 您需要做的就是使用暂存站点来测试更新,然后在实时站点上实施它们。

在本文中,我们将引导您完成安全更新网站过程中的每一步。

TL;DR:要安全地更新您的网站,请使用 BlogVault Backup & Staging 插件。 它将制作您的实时站点的副本(称为暂存站点)。 在暂存站点上,您可以在不影响您的实时站点的情况下测试 WordPress、主题和插件的更新。 当您对一切运行良好感到满意时,您可以将暂存中的更改合并到您的实时站点中。

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”下一步是什么?”]

什么是安全更新? 为什么它们很重要?

更新是取代旧软件的新版本。 与任何其他软件一样,WordPress 及其主题和插件也会定期接收更新。

有 5 种更新类型:安全补丁、错误修复、新功能、兼容性和性能更新。

所有更新都会为您的站点带来好处,但是,安全更新是最重要的。

这是因为无论软件构建得多么好,随着时间的推移,它往往会产生漏洞,这些漏洞可以被用来入侵网站。 当软件的开发人员得知后,他们迅速修复漏洞并发布补丁通知安全更新。

如果网站所有者推迟插件、主题或 WordPress 核心更新,漏洞仍然存在,随时可能被黑客利用。 因此,保持网站更新至关重要。

要了解 WordPress 安全更新的重要性,您需要解决影响 WordPress 网站的常见 WordPress 漏洞。

常见的 WordPress 漏洞:

最常见的 WordPress 漏洞如下:

我。 SQL 注入漏洞

在每个 WordPress 网站中,都有联系表单、评论部分、搜索等输入字段。这些字段通常由插件启用。 访问者将数据插入这些字段后,数据将存储在网站的数据库中。 为了保证数据库的安全,输入字段确保数据在发送到数据库之前经过验证和清理。

例如,理想情况下,联系表格应该接受姓名、电话号码和电子邮件地址。 但是,如果它没有正确配置来清理访问者输入的数据,它就会容易受到 SQL 注入的攻击。

联系表

这意味着黑客可以伪装成访客并插入将存储在数据库中的恶意代码。 黑客可以执行以下代码从数据库中窃取信息并获得对您网站的访问权限。

二. 跨站脚本漏洞

与 SQL 注入类似,插件可以开发跨站点脚本 XSS 漏洞。 尽管黑客利用此漏洞来控制您的网站,但他们也可以利用它从您的访问者那里提取数据。

假设评论插件中的跨站点脚本漏洞使黑客能够在您的站点上插入恶意链接。 当访问者在不知道链接的恶意意图的情况下单击它时,它会请求访问者允许访问他/她的浏览器 cookie。

对于访问者来说,网站可能看起来像是在请求许可。 他们很可能会上当受骗并允许访问他们的浏览器 cookie。 Cookie 包含敏感信息,例如登录凭据、电子银行凭据等。

三. 制药黑客利用

制药黑客攻击用于销售或推广非法药物。

黑客利用插件或主题或您网站核心中的漏洞来访问您的网站。 然后,他们会找到您排名最高的页面,并注入伟哥、西力士、艾力达等非法药物的广告。

制药 hack 示例

很快您的网页就会开始对非法药品进行排名。

当访问者访问您的网站时,他们会点击广告并被重定向到黑客的网站。

制药黑客劫持您的 SEO 努力并赶走您的访客。

四. 后门漏洞利用

后门是您网站上的隐藏入口点。 它通常存在于盗版插件和主题中。

许多网站所有者使用盗版软件是因为他们买不起正版。 但是盗版软件通常带有预装的后门。 这意味着当您在您的网站上安装该软件时,它为黑客提供了一个入口点。

v.网络钓鱼攻击

黑客使用网络钓鱼漏洞来访问您的网站并发送垃圾邮件。 这些电子邮件的目的是诱使人们共享敏感信息,例如信用卡或银行凭证。

电子邮件服务具有强大的反网络钓鱼措施。 如果他们发现您的 WordPress 网站正在发送垃圾邮件,他们会将您的网站列入黑名单。

网络钓鱼电子邮件示例

这些是最常见的 WordPress 漏洞。 您一定已经注意到其中有一个连续的主题! 它们是由您站点上安装的软件中的安全漏洞引起的。

这表明在发布安全更新后立即实施安全更新是多么重要。

但是,我们知道更新经常滚动,很难跟踪。 在下一节中,我们将向您展示如何掌握更新。

[ss_click_to_tweet tweet=”WordPress 安全更新是您不能忽视的最重要的更新类型。” 内容=”” 样式=”默认”]

如何检查 WordPress 安全更新?

检查安全更新的方法有两种:

  1. 从 WordPress 仪表板手动检查(适用于单个站点)
  2. 检查使用站点管理插件(适用于多个站点)

1.从 WordPress 仪表板手动检查

手动更新 WordPress 网站最适合单一网站所有者。 您需要做的就是:

→ 登录您的网站。

→ 从菜单中转到仪表板 > 更新。

wordpress 更新提醒

→ 在更新页面上,您会找到所有过时的软件(核心、插件和主题)以及新版本的详细信息。 单击“查看版本详细信息”链接时,您会找到有关更新的信息。 如果更新包含 wp 安全补丁,将在版本详细信息中提及。

查看 wordpress 更新详细信息

→ 通常在版本详细信息中,您会发现开发人员在单个更新中推出了不同类型的更改。 例如,在我们最近更新的一个插件中,我们发现该更新将修复错误和兼容性问题。

wordpress 更新细节

→ 更新会不时带来新功能和安全补丁。 这可能有点棘手。 即使您不想要这些新功能,您仍然需要更新您的 WordPress 以确保它不会受到攻击。

2.检查使用站点管理插件

跟踪单个站点上的更新已经够难的了。 在多个网站上跟踪更新是一场噩梦。

但是像 BlogVault 这样的插件将使您能够从单个仪表板检查多个 WordPress 站点的更新。

→ 注册 BlogVault 并将您的网站添加到仪表板。

→ 您会立即看到每个站点上有多少插件和主题待处理。

blogvault 更新警报

→ 要了解更新详情,您需要选择网站,然后点击管理

blogvaualt 管理功能

→ 之后,只需单击新版本即可查看更新详细信息。

blogvault 更新插件

至此,我们已经结束了如何检查更新。 现在让我们深入探讨如何安全地实施安全更新。

如何安全地执行 WordPress 安全更新?

有两种方法可以执行安全更新。 那些是:

  1. 在暂存站点上更新(安全)
  2. 直接从仪表板更新(不安全)

众所周知,直接从网站仪表板更新会导致网站崩溃。 修复和尝试恢复损坏的站点是一个困难且耗时的过程。 这就是为什么我们会避免这样做并专注于更安全的方法。

1. 在暂存站点上更新

第 1 步:创建 WordPress 暂存站点

登台站点是您网站的精确副本。

正如我们之前提到的,更新可能会导致您的网站崩溃。 暂存环境将帮助您在将更新发布到您的实时站点之前测试更新。

有很多插件可以帮助您创建暂存环境。 我们的插件 BlogVault 提供免费的 WordPress 暂存环境,而且设置起来非常简单。

假设您已经注册了 BlogVault 并将您的网站添加到仪表板:

→ 转到暂存部分并单击添加暂存

blogvault 添加暂存

→ BlogVault 会要求您选择备份和您选择的 PHP 版本

暂存备份版本

→ 创建暂存站点需要几分钟时间。 一旦准备就绪,您就可以开始测试更新。

第 2 步:在暂存站点上测试更新

要测试更新,您需要登录到刚刚创建的暂存站点。 暂存站点的 URL 应如下所示 – https://yoursite.d.wpstage.net/

您可以使用常规用户凭据登录到临时站点。 但是当您打开暂存 URL 时,您会注意到它受密码保护。 它有一个密码,以确保您的暂存站点是私有的,公众或任何搜索引擎都无法访问。

blogvault 暂存 http 身份验证

您需要返回 BlogVault 仪表板并从登台部分获取您的用户名和密码。 使用它来访问您的暂存站点。

blogvault 登台用户名密码

→ 要转到登台站点的登录页面,您需要在登台 URL 的末尾添加/wp-admin/,例如https://yoursite.d.wpstage.net/wp-admin

→ 使用您的常规用户凭据登录 WordPress 仪表板。

→ 要实施更新,请转到仪表板 > 更新。

wordpress 更新提醒

→ 在更新页面上,您会找到所有过时的软件以及新版本的详细信息。 要实施更新,您只需选择插件或主题或核心,然后点击更新按钮。

更新 wordpress 插件

→ 实施更新后,您需要检查您的网站是否正常运行。 我们建议检查所有重要的页面和功能。 这将包括您的主页、博客、购物车页面、结帐页面等。

准备就绪后,我们将进入下一步。

第 3 步:更新实时站点

如果您发现更新没有对您的站点造成任何损害,您可以继续在实时站点上进行相同的更新。

您不必登录到您的实时站点并再次实施更新。 您可以简单地将登台站点与实时站点合并。

→ 在 BlogVault 仪表板上,转到暂存部分并单击合并

blogvault 暂存合并

→ BlogVault 将开始将实时站点与暂存站点同步。 最后,它会生成一个页面,您可以在其中查看暂存站点和实时站点之间的差异。 您不必合并整个站点。 只需选择您刚刚测试的插件、主题和核心,然后单击下一步。

blogvault 更新插件细节

→ 然后输入您的 FTP 凭据,您的登台站点将与实时站点合并。

注意:如果您不知道您的 FTP 凭据是什么,您可以借助这些视频或联系您的 WordPress 主机及其托管平台来找到它们。

至此,我们已经结束了如何安全地实施更新。

[ss_click_to_tweet tweet=”更新可能会破坏网站,因此了解如何更新网站安全性非常重要。 这正是这篇文章教给我的。” 内容=”” 样式=”默认”]

接下来是什么?

正如我们之前提到的,软件更新将修复所有漏洞并帮助保护您的网站免受黑客和机器人的侵害。 但软件漏洞并不是 WordPress 网站面临的唯一威胁。 黑客还可以利用其他漏洞侵入您的网站。 以弱用户凭据为例。

为了保护您的网站免受所有类型的漏洞和黑客攻击(如 DDoS 攻击、暴力攻击等),我们建议使用 WordPress 更新和 WordPress 安全插件,如 MalCare。

该插件将使用防火墙保护您的站点,并使用登录保护措施限制登录尝试。 它将帮助您实施站点强化措施。 并每天扫描您的网站。 如果检测到任何恶意活动,您会立即收到通知。

安装 MalCare 以 24×7 全天候保护您的网站