安全的 WordPress 託管：全面鎖定！

已發表: 2017-03-15

安全 WordPress 託管是一個近來被廣泛使用的術語。但這究竟是什麼意思？企業託管解決方案在安全性方面提供了什麼，而常規託管卻沒有？我們將深入研究這些問題並確定安全託管環境背後的設計原則。有了這些信息，您將能夠在為您的企業研究託管解決方案時做出有根據的猜測！

常規託管與企業託管安全

定期託管有點像狂野西部。您的網站託管在一台機器上，運行某個版本的 Web 面板軟件，允許 SSH 連接，然後一切順利。

託管環境通常不會被鎖定，因此成功的攻擊者可以訪問系統的所有文件，包括與客戶相關的文件。這意味著，如果攻擊者可以訪問與您自己的服務器託管在同一台服務器上的網站，那麼他或她也很有可能訪問您自己的文件。

系統的安全性與其最薄弱的環節一樣強大。在共享託管環境中，您與託管在該系統中的最不安全的網站一樣安全。

什麼是安全託管環境？

現代安全託管環境必須遵守以下設計要點：

過濾：應針對“異常”請求和遠程攻擊簽名過濾流量。數據應該被淨化。
細粒度的訪問控制：權限和訪問控制應該分層，沒有不必要的額外權限。
進程隔離：一個進程（運行應用程序或系統）不能改變或修改另一個進程的完整性。
不要相信客戶端發送給你的任何東西：默認情況下可疑地對待所有傳入的請求。
精簡的必需品環境：不必要的安裝軟件通常是一個弱點。安裝在環境中的所有軟件都應該有明確的存在理由。

此外，在高可用性 n 層架構中，安全性設計是不同的。每個層都是單獨配置的，具有不同的安全機制和策略。當攻擊者控制 Web 服務器時，他將無法獲得對其他層的進一步訪問，例如數據庫。簡而言之：一台機器的妥協不會危及整個系統的安全。

Pressidium 的安全 WordPress 託管

我們不必多說。我們非常重視安全。我們的平台跨多個不同層實施安全機制。我們努力推廣當今存在的最佳 WordPress 安全實踐。讓我們看看引擎蓋下有什麼！

受限制的 PHP

我們的網絡服務器運行一個鎖定版本的 PHP，它只能執行 WordPress 相關的功能，不能執行其他任何操作。

預配的 WordPress 安裝

您網站的 WordPress 安裝無法修改（即使您自己也無法修改），並且平台會不斷檢查其完整性。 PHP 編譯器在用戶空間中運行，在特定用戶的 chroot 監獄下。這意味著即使惡意攻擊者獲得了站點的超級用戶訪問權限，他或她也將僅訪問與該站點相關的文件，而不是您的或系統的文件。

Chrooted（監禁）環境

在我們的平台上運行的所有東西都與不同級別的受限（chroot）環境分層。 chroot 環境通過修改根目錄的位置來限制正在運行的進程的文件系統。然後沒有任何東西可以更改該根目錄之外的文件。每個進程都在自己的孤島中，不能“看到”或“觸摸”除此之外的任何東西（這也意味著你的文件）。我們的平台實現了三個不同級別的 chroot 環境：

每個站點
每個用戶
每個進程

WordPress 更新層

我們的WordPress 安全更新可確保您始終使用最穩定的 WordPress 版本保持最新狀態。我們會根據需要更新插件和主題，並且僅在出現安全威脅時更新。我們也不會隨機更新軟件，或不另行通知。一切都與您個人協調。

虛擬補丁層

如果您絕對必須保留舊的和過時的插件，即使它們已知易受攻擊，您也可以使用我們的 WAF Web 應用程序防火牆的虛擬修補機制。此機制攔截來自已知漏洞的攻擊。因此，過時且易受攻擊的插件可以繼續按預期運行而不會帶來安全風險。

OWASP 過濾

我們的 Web 應用程序防火牆是按照 Varnish 安全防火牆模型設計的。使用OWASP規則和過濾器，防火牆可以防止攻擊者訪問您網站的弱點。此外，如果攻擊者在拒絕服務攻擊中啟動多個連接，則攻擊 IP 將受到限制。如果任何攻擊持續存在，我們會在地理範圍內實施封鎖，必要時甚至在整個國家/地區實施封鎖。

惡意軟件和漏洞掃描

我們使用 NIST 的國家漏洞數據庫等資源來掃描我們保存的每個數據，以查找惡意軟件、漏洞利用和已知安全問題。我們託管一個特定的數據庫，其中包含有助於檢測傳入攻擊的數據簽名。

暴力攻擊禁令

如果攻擊者反复嘗試測試憑據，我們的平台會檢測到這些攻擊並在防火牆層禁止 IP 地址。

WordPress 安全是我們的願景

我們認為 WordPress 的安全性很重要，因為它發生在大多數重要的事情上，需要認真努力才能正確地做到這一點。這就是我們將配置、健全性檢查和過濾構建到我們平台核心的原因。我們對安全 WordPress 生態系統的願景很大，我們將及時與世界分享更多細節。但就目前而言，我們需要關注那些讓您的 WordPress 業務更強大、更少痛苦的日常小事！