揭穿 WordPress 託管安全神話

已發表: 2022-06-30

WordPress 託管很複雜。 每個 WordPress 網站都依賴於由公司和社區創建的一堆軟件和硬件,這些軟件和硬件的標準和價值觀很難從外部理解。 這會引起誤解和誤解,尤其是在涉及安全方面。
在本文中,我們將探討一些最有害的 WordPress 託管神話,特別關注導致安全錯誤的神話。

小型網站不會被黑客入侵

媒體經常報導攻擊者的目標似乎很明顯的重大安全漏洞。 受害者存儲了千兆字節的個人數據,可用於身份盜竊。 許多商店的信用卡號碼由於顯而易見的原因被盜。 一些攻擊者從事工業間諜活動。
這些都不適用於擁有少數用戶帳戶的小型網站:那裡沒有太多有用的個人數據。 他們很少存儲信用卡號碼,明智地選擇使用支付處理器。 那麼,為什麼犯罪分子會花精力破解一個小網站呢?
首先,這不是很大的努力。 大多數黑客攻擊都是自動化的:機器人在網絡上搜尋易受攻擊的站點,並通過預編程攻擊來破壞它們。 攻擊者放開他的機器人並等待 IP 地址滾進來。
其次,即使是一個小網站也很有價值。 它有可能感染惡意軟件的受眾。 它可以被拖入攻擊者的殭屍網絡並用於破壞其他站點或參與 DDoS 攻擊。 它可用於 SEO 垃圾郵件。 每個網站都代表一個帶寬、存儲和處理能力的包——所有這些都對犯罪分子有用。

如果有效,為什麼要升級?

當技術完成它應該做的事情時,那些不花一生時間盯著屏幕上的代碼的人會非常滿意。 他們可能會覺得帶來變化的更新是一種不受歡迎的破壞。 WordPress 並不難學,但它的難度足以讓數百萬用戶擔心改變的想法。
每天使用 WordPress 的人已經習慣了。 他們寧願為了改變而避免改變,所以他們往往不願意更新。 畢竟,為什麼要改變有效的方法。
開發人員對此的回答是雙重的。 軟件永遠不會停滯不前,必須改變以跟上世界的變化。 而且,更重要的是,更新修復了導致安全漏洞的錯誤。 幾個月未更新的網站幾乎肯定是易受攻擊的。 在上一節中,我們討論了殭屍網絡和自動黑客攻擊。 這些機器人尋求的是未打補丁的內容管理系統。 最終,他們會找到一個未打補丁的網站,然後它就會被黑客入侵。

我會知道是否有問題

被黑的網站是什麼樣的? 在大多數情況下,它看起來像是一個沒有被黑客入侵的網站——尤其是對其所有者而言。 正如我們所討論的,不良行為者破壞網站是因為他們想要其數據、資源、訪問者或 SEO 潛力。 如果網站所有者發現他們已被黑客入侵,則不良行為者將失去對這些資源的訪問權限。 所以,他們很狡猾。 他們試圖隱藏。
如果您仔細觀察,您可能會注意到帶寬或內存使用量的峰值。 如果您定期掃描惡意軟件,您可能會發現它們的惡意代碼。 但是,如果您正常使用該網站,則不太可能發現任何問題。
以 SEO 垃圾郵件為例。 當一個站點被入侵時,攻擊者想要推廣的站點的鏈接會被注入到它的內容中。 這些鏈接對 Google 可見,普通訪問者也可能可見,但對登錄網站的人是隱藏的。
這就是為什麼使用SucuriWordfence等工具定期掃描您的網站是個好主意 他們發現惡意代碼並讓您知道。 如果您不掃描,那麼當 Google 開始警告您的受眾您的網站不安全時,您很可能會發現攻擊。

SSL 確保您的網站安全

SSL 證書有兩個作用。 它們加密通過網絡從服務器傳輸到瀏覽器並再次返回的數據。 瀏覽器使用它們來驗證它們是否連接到它們期望的主機。 這就是 SSL 證書所做的一切。 它們是必不可少的安全和隱私工具,但它們不保護存儲在站點服務器上的數據。 它們也不能保護網站免受試圖利用漏洞的攻擊者的攻擊。

每個 WordPress 插件都是免費的

這是一個有害的神話,導致人們下載受惡意軟件感染的插件。 大多數 WordPress 插件都是在 GPL 許可下開源的。 當開發者分發插件時,他們也分發源代碼。 許可證要求他們這樣做。
通常,開源軟件是免費的。 使用它不需要任何費用。 WordPress 本身是開源和免費的。 但有些開源軟件並不是免費使用的 高級 WordPress 插件屬於此類:它們是開源的,但開發人員希望用戶支付許可費才能使用該插件。
當用戶支付費用時,他們會根據需要獲得源代碼。 但開源並不意味著開發人員必須向每個人提供源代碼——只是分發插件的人,付費的人。 這通常被誤解。 付費後獲取高級主題的代碼並免費贈送是完全合法的,但出於顯而易見的原因,在 WordPress 社區中不鼓勵這樣做。
您可能想知道這與安全性有什麼關係。 不良行為者知道人們想使用高級插件而不付費。 因此,他們使用插件,添加少量惡意軟件,然後免費贈送。 這些“無效”或“盜版”插件包含後門和其他惡意代碼。 當毫無戒心的 WordPress 用戶安裝無效插件時,他們會將其網站的控制權交給攻擊者。 在您的網站上安裝盜版插件是個壞主意。
我們在這篇文章中介紹了五個常見的 WordPress 託管神話,我們可能還包括更多。 如果您想看到深入探討更多 WordPress 託管神話的後續帖子,請在評論中告訴我們。