十大 WordPress 安全建議

已發表: 2023-02-15

您可以採取哪些前十個步驟來保護您的 WordPress 網站? 哪些安全加固措施對您網站的安全影響最大? 安全性一直是 WordPress 社區中的熱門話題,像這樣的問題之所以重要是有充分理由的。 WordPress 為幾乎一半的互聯網提供支持,其領先地位使其成為黑客的首要目標。

每天都有成千上萬的 WordPress 網站成為網絡攻擊的受害者。 這在 WordPress 站點總數中只是九牛一毛,但如果它發生在你身上呢? 那是巨大的。 一些網站所有者因數據丟失、數據盜竊和欺詐而遭受長期後果。 糟糕的安全政策和風險管理會引發這樣的災難。 作為 WordPress 網站所有者,擁有可靠的安全策略意味著什麼? 主要風險是什麼,您如何管理它們?

關鍵是建立安全的基礎,然後通過一致的安全實踐繼續構建它們。 本指南將教您如何做到這一點並立即保護您的 WordPress 網站。

在本指南中,我們將深入探討 WordPress 安全性。 您將了解針對 WordPress 的最危險的網絡攻擊。 您將學習如何最大限度地降低成為他們受害者的風險。 我們將為您提供我們的十大 WordPress 安全建議,並解釋如何實施它們。 然後您將能夠抵禦當今最複雜和惡意的攻擊。

WordPress 安全嗎? 是的!

簡而言之,是的,核心 WordPress 平台是安全的。

作為一個成熟的、有二十年曆史的開源軟件項目,WordPress 是最久經考驗的安全建站框架之一。

開發人員和安全專家社區維護著 WordPress 核心。 此外,代碼庫是公開可用的。 這意味著安全研究人員可以自由地對其進行分析。 在公眾監督下,通過新版本初始測試階段的任何錯誤往往會很快被發現。 WordPress 定期接收更新並迅速修補在 WordPress 核心中發現的任何漏洞。 這種不斷的調整提高了平台的整體安全性和質量。

是什麼讓 WordPress 網站不安全?

當人們使用 WordPress 構建網站時,安全性可能不是他們最關心的問題。 粗心的定制加上糟糕的安全實踐(或根本沒有)給整個 WordPress 生態系統帶來了重大的安全風險。

不運行更新的站點所有者

WordPress 開發人員的定期更新和支持使 WordPress 高度安全。 然而,WordPress 的受歡迎程度與使用插件和主題對其進行自定義的便捷性有很大關係。 這些第三方附加組件可能會或可能不會像 WordPress 核心一樣得到很好的支持和測試。 當新版本推出時,它們也需要更新。 對於具有 12-24 個插件的 WordPress 站點,每周可能會有幾個新的更新可用。 不修補已知漏洞並且不執行定期更新會大大增加您的 WordPress 網站被黑客攻擊的可能性。

WordPress 核心也全年接收更新。 通常會有四個主要版本。 安全和維護版本也將在需要時出現。 截至 2023 年,大約 60% 的 WordPress 網站使用最新 (6.1) 版本的 WordPress 核心。 40% 的人不這樣做,這對他們的安全不利。 自 2022 年 12 月起,不再支持 WordPress 3.7 – 4.0 版,並且可能不會收到安全補丁。

不更新 PHP 的站點所有者和主機

一個更令人擔憂的統計數據是,許多 WordPress 站點使用低於 7.4 的 PHP 版本。 PHP 是主機服務器環境的一部分。 它是 WordPress 運行的語言。 2023 年初,55% 的 WordPress 網站託管在 PHP 7.4 上。 這是 PHP 7 分支的最後一個主要版本。 這是目前 WordPress 官方支持的最高版本的 PHP,雖然許多 WordPress 主機提供 PHP 8。管理良好的 WordPress 主機將保持 PHP 7 的安全性,但它已經達到官方支持的生命週期結束。 隨著時間的推移,WordPress 插件將越來越需要 PHP 8。 跟不上 WordPress 和 PHP 開發步伐的網站被黑客攻擊的風險更高。

為什麼 WordPress 安全很重要

WordPress 網站安全很重要! 如果您沒有一致的安全實踐,現在始終是開始認真對待它的最佳時機。 網絡攻擊的複雜性和數量的增加使網站安全變得極其重要,尤其是對於 WordPress 網站所有者而言。 攻擊者不會簡單地選擇要入侵的網站。 現代網絡攻擊是高度自動化的,可以同時攻擊數以千計的 WordPress 站點。 WordPress 的受歡迎程度和未更新站點的數量使其成為一個龐大而容易的目標。

無論您是經營博客、商業網站還是在線商店,您都需要確保客戶及其數據的安全。 數據洩露會使您的業務面臨風險,並嚴重損害您的聲譽。 不良的安全措施可能導致嚴重的經濟損失。

最近的一項研究表明,大多數中小型企業 (SMB) 認為他們不是黑客攻擊的目標,​​但他們錯了。 攻擊正在增加,並且專門針對他們。 平均而言,遭遇數字安全漏洞的小公司最終支付的費用超過 100,000 美元。

WordPress 安全建議

五個最常見的 WordPress 安全問題

WordPress 在 2022 年面臨的利用內部站點漏洞的最常見威脅是跨站點腳本 (XSS) 和跨站點請求偽造 (CSRF) 攻擊,以及 SQL 注入 (SQLi)。 對被黑客入侵和受感染的網站造成的常見有效負載或損害包括後門程序和惡意重定向。 最後,最常見的攻擊根本不涉及軟件漏洞。 這些是暴力登錄嘗試、密碼填充、卡片略讀、梳理和分佈式拒絕服務 (DDoS) 攻擊。

讓我們來看看這些威脅並深入研究防止它們滲透您的 WordPress 網站的解決方案。

密碼填充、暴力登錄和 DDOS 攻擊

蠻力攻擊和 DDoS 攻擊是高度分佈式的機器人驅動的網絡攻擊。 他們試圖通過讓託管網站的服務器因 Web 請求過載而侵入網站或使其離線。 兩種類型的攻擊通常都涉及由攻擊者控制的機器人網絡(也稱為殭屍網絡)。

暴力登錄攻擊,也稱為密碼猜測攻擊,使用計算機網絡(通常是被黑客入侵的計算機)來測試數千種字母、數字和符號的隨機組合,以發現目標站點的有效登錄名和密碼。

密碼填充是一種暴力攻擊,它使用在其他地方竊取的實際密碼來訪問您的站點。 如果您或您網站的用戶在另一個遭到破壞的網站上使用了相同的登錄憑據,則密碼填充可能會在您的網站上成功。

當攻擊者每分鐘嘗試數千次登錄時,可能會產生 DDoS 攻擊的效果。 DDoSes 在您的服務器上拋出如此多的請求,以至於服務器超載。 有時,DDoS 攻擊只是為了以這種方式使網站離線。

當談到 WordPress 和 WooCommerce 時,梳理攻擊是一個很好的例子,它試圖將竊取的信用卡帳號塞入電子商務網站以進行欺詐性購買。 梳理攻擊也可能具有 DDoS 效果。

跨站點腳本和請求偽造

跨站點腳本和跨站點請求偽造,也稱為 XSS 和 CSRF,是試圖在您的網站上運行惡意腳本以利用訪問者計算機的網絡攻擊。 使用您的站點,這些攻擊會代表您的用戶從站點發送未經授權的請求。 目的是欺騙您網站的訪問者並竊取他們的敏感信息或金錢。 跨站點腳本和請求偽造被認為是針對 WordPress 網站的兩種最危險的網絡攻擊。

影響 WordPress 的跨站點腳本攻擊最突出的例子之一涉及注入 WooCommerce 商店的基於 JavaScript 的卡片分離器。 從攻擊者網站加載的竊取卡片惡意軟件會注入訪問者的瀏覽器中。 購買完成後,此惡意代碼將嘗試從結帳頁面竊取關鍵的支付信息。

後門和 Web Shell

後門程序和 Web shell 是兩種相關的惡意軟件類型,它們通常在最初的違規行為中作為有效負載上傳到被黑網站。 兩者都會造成更深層次的損害:惡意軟件感染。 兩者都是惡意黑客用來深入挖掘您的服務器和 Web 應用程序或對其他站點進行欺詐和進一步攻擊的工具。

後門是注入網站的軟件,允許攻擊者通過繞過正常的身份驗證方法來未經授權訪問其關鍵區域。 反過來,Web shell 是惡意文件管理實用程序,黑客使用它來將更多惡意負載上傳到受感染的網站。

後門通常可以繞過網站所有者甚至防病毒軟件。 即使已採取所有必要的安全措施,後門也允許黑客在以後返回並重新感染或進一步利用網站。 同樣,如果不刪除 web shell,攻擊者將繼續控製網站。

惡意重定向

攻擊者最常見的目標之一是用惡意軟件感染您的訪問者。 實現此目標的最常見方法之一是將毫無戒心的用戶從攻擊者已獲得控制權的受信任網站重定向。

黑客可以將惡意重定向放置在被黑網站的任何位置,這會使它們難以定位和刪除。 通常,網站所有者必須重新安裝 WordPress(這很簡單)或從備份中恢復他們的整個網站(這可能更具挑戰性),以便在他們修補了使此攻擊成為可能的漏洞後清除惡意重定向。

作為一種 SEO 垃圾郵件,製藥黑客一直是影響 WordPress 網站的最臭名昭著的攻擊之一。 攻擊者在受感染的 WordPress 網站上填充流行藥物的垃圾關鍵字,試圖使其在搜索引擎中排名靠前,然後將訪問者重定向到銷售受管製藥物的欺詐性門戶網站。 大多數情況下,攻擊者會在 Apache .htaccess file中放置惡意重定向或為此目的創建看似無害的 .ico 文件。

SQL注入攻擊

SQL 注入攻擊,也稱為 SQL 插入 (SQLi),是一種利用不充分的用戶輸入驗證的數據注入攻擊,允許攻擊者以惡意方式操縱網站的數據庫。 SQL 注入和跨站點腳本都利用所謂的輸入漏洞,這些漏洞可能會影響 WordPress 網站的某些區域。 當插件接受用戶提交的數據或內容但不篩選惡意代碼時,就會出現輸入漏洞。 該代碼可能會在您的數據庫上執行查詢以竊取私人數據或損壞它。

十大 WordPress 安全建議

當談到 WordPress 網站安全時,減少攻擊面的謹慎方法是關鍵。 了解最常見的 WordPress 漏洞和網絡攻擊類型將幫助您顯著提高網站安全性。 以下 10 條最重要的 WordPress 安全建議是保護任何 WordPress 站點所需的核心知識。 這些建議中的大多數都相對容易遵循,並且不需要任何付費的安全解決方案。

執行定期更新,不要安裝任何來自未經驗證來源的軟件

最重要的 WordPress 安全建議之一是定期執行核心、主題和插件更新。 確保您安裝的所有軟件都來自經過驗證的可信來源。 由於 WordPress 是用 PHP 編寫的,因此請確保您使用的是最新主要版本中受支持的 PHP 版本。 目前,它是 PHP 7.4,僅對 PHP 8 提供 Beta 支持。

默認的 WordPress 功能很少能滿足企業主的所有需求,因此他們通過安裝更多插件和主題來擴展平台的功能。 第三方主題和插件增加了攻擊面,使 WordPress 網站容易受到更多安全威脅。

主要問題可能來自使用非官方的盜版付費插件和主題。 這些總是來自高度可疑的來源。 使用過時版本的 WordPress 並且未能修補漏洞也極具風險。

使用像 iThemes Security Pro 這樣的安全插件

保持網站安全的最佳方法是為核心、主題和插件啟用自動更新。 iThemes Security Pro 可以輕鬆跟踪所有可用的軟件更新並安裝新版本的 WordPress 核心以及主題和插件。 如果您管理多個 WordPress 網站,iThemes Sync Pro 允許您從一個界面執行所有管理任務,並利用正常運行時間監控和 SEO 指標跟踪。

大多數 WordPress 託管解決方案,例如 Nexcess 提供的託管雲 WordPress 託管計劃,還會為您處理所有軟件更新,甚至還附帶內置工具,例如 Visual Comparison,以幫助您在更新之前跟踪任何潛在的插件衝突和其他問題。執行任何更新。 Nexcess 還為您提供高級 WordPress 解決方案目錄。 它提供 Kadence WP 作為帶有自定義塊的內置塊主題,以幫助您設計您夢想的網站,同時確保其安全性。

制定強大的備份策略

強大的備份策略對於 WordPress 的安全絕對是必不可少的。 對您的 WordPress 網站執行定期備份可以讓您做好準備,以便在發生違規、更新失敗或任何其他可能出現的問題時輕鬆恢復。

最好有至少十天甚至兩週的完整 WordPress 備份,包括您的 WordPress 數據庫、網站文件和任何其他相關內容。 除了每天和每小時的備份之外,保持每周和每月的備份也非常有益。

一定要遵循數據冗餘的原則。 將 WordPress 網站的工作副本保存在多個地方。 這將幫助您恢復信息,以防萬一備份存檔發生任何問題

您可以使用託管服務提供商提供的備份解決方案(包括 cPanel 和 Acronis 備份)以每日、每周和每月為周期保存您網站的副本。 WordPress 備份插件可以幫助您創建更靈活的備份計劃。 BackupBuddy 是世界一流的 WordPress 數據保護和恢復插件。 它可以幫助您創建強大的備份策略,並在您需要時輕鬆訪問一鍵式還原。

定期執行漏洞和惡意軟件掃描

漏洞掃描和文件完整性監控是您可以用來保護 WordPress 網站所有關鍵區域的最佳工具之一。 內置的 WordPress Site Health 界面是一個很好的入門工具。 如果您需要更多為您的網站量身定制的 WordPress 安全建議,iThemes Pro 站點掃描將為您提供有關 WordPress 網站安全性的綜合報告。

預防是關鍵,但早期攻擊檢測和緩解也很重要。 大多數惡意軟件的主要目的是盡可能長時間不被發現。 WordPress 網站被黑客攻擊數週直到其所有者註意到的情況並不少見。 iThemes Security Pro 提供高級文件更改監控,可在您的 WordPress 網站文件中發生任何可疑活動時隨時提醒您。

定期執行惡意軟件掃描將有助於及早識別惡意軟件感染。 這是在造成不可逆轉的損害之前阻止壞人和清理您的 WordPress 網站的關鍵。 如果您正在尋找出色的免費惡意軟件掃描程序,CloudLinux 的 ImunifyAV 已被證明是極其可靠且用戶友好的。

確保文件權限安全並保護 wp-config.php

WordPress 文件權限會極大地影響 WordPress 網站的整體安全性。 不正確的權限設置會使整個系統面臨嚴重風險,尤其是當您維護自己的服務器並在其上運行多個站點時。 安全地配置您的 WordPress 文件權限是絕對必要的。

WordPress 網站最易受攻擊的區域之一是其主要配置文件: wp-config.php 。 存儲在那裡的關鍵數據,包括 WordPress 數據庫連接信息,使wp-config.php成為試圖控制您網站的攻擊的高優先級目標。

您現在可以實施的關鍵 WordPress 安全建議之一是將您網站的wp-config.php文件的權限設置為至少 640。如果您不確定其他網站的文件應具有哪些文件權限,iThemes Security Pro 的文件權限檢查工具將幫助您找出答案。

不安全的文件權限和糟糕的用戶隔離促進了跨賬戶的妥協

黑客積極利用糟糕的用戶隔離和不安全的文件權限來執行危險的跨帳戶攻擊。 這些被稱為“符號鏈接黑客”或“匿名狐狸”WordPress 黑客。

通過使用一個被黑網站作為入口點,攻擊者可以創建指向其他網站配置文件(例如wp-config.php的跨帳戶符號鏈接,以暴露敏感信息並控制給定服務器上的所有網站。 僅當您的wp-config.php文件可被同一服務器上的其他用戶讀取時,這種攻擊才有可能。

一些 WordPress 安全建議建議移動wp-config.php ,這可能會有所幫助,但這並不能真正解決所有風險。 確保文件權限安全,並確保所有網站在同一台服務器上相互隔離。 實現這一目標的最佳方法之一是使用 CloudLinux 操作系統提供的 CageFS。

配置 Web 應用程序防火牆

另一個關鍵的 WordPress 安全建議是使用 Web 應用程序防火牆,或者更好的是,使用多個防禦系統,如基於主機和基於雲的 WAF。 Web 應用程序防火牆作為抵御所有已知網絡攻擊的第一道防線,根據不斷更新的規則集過濾掉任何惡意流量。

WAF 根據我們定義的規則設置的多種模式掃描所有網絡流量以查找任何可疑請求。 這確保了對 DDoS 和暴力攻擊以及 SQLi 和 XSS 的高級別保護。

Cloudflare WAF 等基於雲的 WAF 可以減輕各種攻擊,同時降低源服務器上的負載。 然後,發送到託管您的 WordPress 網站的服務器的請求將受到基於主機的 WAF(例如 ModSecurity)的另一輪檢查。 這兩種解決方案都是完全免費的,並且被認為是 WordPress 安全性的行業標準。

設置 HTTP 安全標頭

HTTP 安全響應標頭是提高 WordPress 網站安全性的最有價值的工具之一。 與 Web 應用程序防火牆類似,HTTP 響應標頭可以阻止對您網站關鍵區域的訪問,並防止任何可能危及您的客戶及其數據的活動。

WordPress 最重要的 HTTP 安全標頭包括:

  • 內容安全策略 (CSP)。 一個強大的解決方案,可以幫助緩解跨站點腳本和點擊劫持,以及其他針對 WordPress 網站的危險網絡攻擊。 使用 CSP 可以幫助您定義可以從您的網站加載內容的資源列表,以及您的網站可以從中加載內容的資源列表。
  • 設置 Cookie 。 Set-Cookie 響應標頭控制如何將 cookie 從服務器發送到用戶瀏覽器。 配置 SameSite 屬性可以幫助保護您的 WordPress 網站免受跨站點請求偽造和點擊劫持。
  • 嚴格的傳輸安全 (HSTS)。 HSTS 響應標頭確保您的 WordPress 網站只能通過 HTTPS 訪問,從而實現服務器和瀏覽器之間的端到端加密。

大多數時候,您可以在本地.htaccess文件中為您的 WordPress 網站配置 HTTP 安全標頭。 請注意,大多數 WordPress 託管服務提供商會為您設置 HTTP 響應標頭,因此您可能需要諮詢託管服務商的支持團隊,以了解是否需要在本地重新定義任何規則。

在上傳文件夾中禁用 PHP 執行並關閉目錄索引

對於 WordPress,黑客傾向於將惡意軟件隱藏在通常不存儲任何可執行代碼的文件夾中。 其中一個文件夾是wp-content中的 uploads 目錄。 在上傳文件夾中禁用 PHP 執行是個好主意。 這有助於限制惡意軟件感染的範圍並加快惡意軟件修復。

如果您有可用的 Apache HTTP,請在 wp-content/uploads 中創建一個.htaccess文件並將以下規則添加到其中。 這將阻止從上傳文件夾加載任何 PHP 腳本。 這是攻擊者可能放置惡意代碼的常見位置。

除了阻止 PHP 執行之外,在您的網站上禁用目錄索引是我們 WordPress 安全建議列表中的另一個重要項目。 如果沒有禁用目錄索引,如果瀏覽器缺少index.phpindex.html文件,它將加載請求目錄中存在的文件列表。

攻擊者廣泛利用此功能,尤其是在涉及本指南前面概述的跨帳戶符號鏈接攻擊時。 您可以通過在.htaccess中使用以下規則來全局或基於每個目錄阻止目錄索引:

更改您的 WordPress 數據庫前綴和默認管理員用戶名

除非您更改默認安裝過程,否則 WordPress 將自動為其數據庫使用標準wp-前綴並創建默認admin用戶。 由於這是公共知識,暴力和數據注入攻擊假定它。

刪除默認管理員用戶並將 WordPress 數據庫前綴更改為類似於wp2789_的內容。 您可以使用 phpMyAdmin 或通過 MySQL 命令行界面重命名所有數據庫表來完成此操作。 確保之後更新wp-config.php中的數據庫前綴。

限制對 XMLRPC 和 WordPress 登錄的訪問

當涉及到暴力破解和 DDoS 攻擊時, xmlrpc.php和 WordPress 登錄頁面是 WordPress 網站中攻擊者最常針對的兩個區域。 如果對這兩個接口的訪問不受限制,您的 WordPress 站點可能會出現性能不佳和頻繁停機的問題。 此外,黑客最終很有可能破解您的管理員帳戶並對您的網站造成嚴重破壞。

XMLRPC 是一個應用程序編程接口 (API),它允許 WordPress 與其他系統進行通信,並且自該平台成立以來它一直是 WordPress 的一部分。 然而,由於 WordPress 嚴重依賴 REST API,因此很少使用 XMLRPC,通常可以完全禁用而不會產生任何負面後果。 您可以將以下規則添加到您網站的.htaccess file中,或者為此將 xmlrpc.php 文件的權限簡單地設置為零。

限制對 WordPress 管理面板的訪問是我們的另一項關鍵 WordPress 安全建議。 雖然更改 WordPress 登錄地址會使它更難被發現,但保護登錄頁面密碼或定義可以訪問它的 IP 地址的專用範圍將有效消除攻擊者未經授權訪問 WordPress 後端的風險。

使用強密碼並配置多重身份驗證

使用強密碼的重要性怎麼強調都不為過。 然而,一些 WordPress 網站所有者往往忘記了 WordPress 管理面板並不是唯一的攻擊媒介。 由於攻擊者獲得了對其網絡託管控制面板帳戶的訪問權限,因此大量 WordPress 網站遭到黑客攻擊。

對於許多主機,您的 WordPress 網站的帳戶名稱對應於在主機服務器上創建的實際用戶。 它很容易被猜到或公開可見。 結合其密碼,憑據對可能允許您通過 SSH 和 SFTP 連接到您的站點。 這是您訪問主機控制面板的方式。 如果此帳戶遭到入侵,攻擊者不僅可以完全訪問您的站點,還可以完全訪問您的整個託管帳戶、電子郵件,甚至您的域名或 DNS 記錄。

為您的 WordPress 管理員用戶和您網站的託管控制面板帳戶採用強密碼策略和多因素身份驗證。 如果可能,完全禁用 SSH 的密碼身份驗證以支持基於密鑰的身份驗證方法。

iThemes Security Pro 使您能夠使用帶有生物識別登錄的密碼為您的 WordPress 管理面板設置無密碼身份驗證。 這與為您的託管帳戶設置的多因素身份驗證相結合,可確保完全防止暴力攻擊並保護您的網站,即使您的登錄憑據已被洩露。

使用 iThemes Security Pro 實施最佳 WordPress 安全建議

作為世界上最受歡迎的內容管理系統,WordPress 是各地黑客的高優先級目標。 為了利用數據洩露和分發惡意軟件,攻擊者採用了廣泛的複雜技術,例如數據庫注入、跨站點腳本和跨站點請求偽造。 除非您的 WordPress 網站受到保護免受這些常見安全威脅,否則它可能很容易成為攻擊目標。

隨著無數的 WordPress 安全建議四處流傳,了解如何確保您的網站安全可能會很棘手,尤其是當有多種策略可以減輕每次網絡攻擊時。 使 WordPress 安全性更易於訪問是 iThemes 所追求的目標。 讓 iThemes Security Pro 和 BackupBuddy 成為您的私人安全助手! 他們提供了 50 多種方法來保護您的 WordPress 網站免受當今最危險的網絡攻擊。