數以千計的 WordPress 網站可能使用易受攻擊的插件:以下是如何確保您的網站安全

已發表: 2024-05-06

2024 年 3 月,WordPress 外掛程式 WordPress Automatic 中發現了一個嚴重漏洞。 WordPress 會自動在 Code Canyon 市場上提供,是一種自動內容抓取工具,可從外部來源檢索文章、影片、產品、圖像和其他類型的內容,並自動在您的網站上重新發布這些內容。

研究公司 Patchstack 發現了這個漏洞,使得惡意行為者可以利用 SQL 注入攻擊來完全控制易受攻擊的網站。 所有類型的網站(從電子菸商店到個人部落格)如果使用未修補版本的插件,都容易受到攻擊。

儘管該插件得到了及時修復,但一些網站所有者並沒有安裝該補丁,因為他們不知道問題的嚴重性。 最近對 WordPress 自動外掛程式的用戶評論表明,至少有一些網站因該漏洞而完全丟失。

沒有一個網站能夠完全免受駭客攻擊,而 WordPress(全球 43% 的網站都由 WordPress 提供支援)是惡意行為者的優先目標。

不過,好消息是:當網站確實遭到駭客攻擊時,通常並不是因為駭客專門針對該網站。 更常見的是,網站被駭客攻擊是因為它們運行了透過使用自動掃描器發現的易受攻擊的 WordPress 主題或外掛程式。

換句話說,如果您的網站不存在可以透過掃描器輕鬆發現並透過自動化方式利用的已知漏洞,那麼駭客通常會繼續前進。

考慮到這一點,您只需遵循一些常識性的安全實踐,就可以確保您的 WordPress 網站的安全。 在本指南中,我們將準確解釋您需要採取哪些措施來最大程度地降低不安全外掛程式導致您的網站過早終止的風險。

及時更新您的主題和插件

當您登入 WordPress 時,如果您網站的主題或外掛有可用更新,您將始終在側邊欄中看到通知。 在某些情況下,具有待更新的插件甚至會在頁面頂部顯示一則訊息。 如果您的網站有大量插件,您幾乎每次登入時都可能會看到更新通知,有時在下載和安裝這些更新時可能會拖延。 不過,這樣做會帶來危險,因為您永遠不知道更新何時可能包含關鍵安全問題的修復。

當 WordPress 自動外掛程式的建立者收到有關安全漏洞的通知後,它立即進行了更新。 然而,據報道,保密協議阻止該插件的創建者討論該缺陷,直到 Patchstack 公開該缺陷。 因此,一些用戶忽略了此次更新。

維護完整網站和資料庫備份

網路主機提供全自動網站和資料庫備份變得越來越普遍,這對於安全來說是一件好事。 如果您的網站遭到駭客攻擊,擁有可用的備份意味著您可以將網站還原到先前的狀態 - 有時只需單擊即可。 如果您的主機不提供此服務,幾個 WordPress 外掛程式可以為您完成這項工作。 不過,維護多個不同時間點的備份庫非常重要。 如果您的網站遭到駭客攻擊,您可能需要一段時間才能注意到。

考慮運行安全插件

如果您的網站是您的企業,那麼沒有理由不採用某種安全解決方案。 安全插件可以自動監控存取嘗試並阻止看似惡意的使用者。 一些內容交付網路也提供這種服務。 安全插件還可以監視您網站的檔案和原始程式碼,並在發生任何意外變更時通知您。 如果新檔案突然開始出現在您的伺服器上,則您的網站可能已被駭客入侵。

從可信任來源取得您的主題和插件

WordPress 儲存庫始終是為您的網站尋找主題和外掛程式的最可靠的地方。 由於 WordPress.org 網站上的所有內容都是免費且開源的,因此所有外掛程式和主題都受到龐大的 WordPress 志工社群的監控。 但在許多情況下,您可能需要免費主題或外掛程式中不提供的功能 - 在這種情況下,您將不得不付費購買高級軟體。 確保有人審核了程式碼並聲明其安全。

刪除未使用的主題和插件

WordPress 網站上安裝的每個主題和每個外掛程式都應被視為潛在的安全漏洞,因為這正是駭客正在做的事情– 他們不斷地審查現有的WordPress 程式碼的每一點並尋找可利用的漏洞。 每次從網站中刪除主題或外掛程式時,您就消除了潛在的進入點。 檢查網站的外掛程式和主題並刪除任何不使用的內容。 查看您的活動外掛程式並確保您確實需要所有它們也是一個好主意。

尋找廢棄插件的替代品

距離您上次看到特定插件的更新通知已經有一段時間了嗎? 如果是這樣,您可能需要檢查插件的變更日誌以確定其上次更新時間。 除非一個插件的功能非常簡單,否則如果它超過一年左右沒有更新,你應該認為它被作者放棄了。 在這種情況下,您應該搜尋提供相同功能並且仍在積極更新的插件。 安全漏洞可能會在舊插件中潛伏很長時間,然後才會被發現 - 如果作者不再更新存在漏洞的插件,則該漏洞將永遠不會被修復。

聘請開發人員審核舊外掛和主題

假設您的網站有一個關鍵任務插件,已被開發人員放棄並且不再更新。 在這種情況下,您需要自行確保插件安全且沒有漏洞。 在這種情況下,僱用開發人員並讓該人為您審核插件將是一個非常好的主意。 維護該插件可能會成為一項持續的費用,直到您找到替代品為止。

薩斯蘭