如何進行 WordPress 安全審計 - 8 個簡單步驟 - MalCare

已發表: 2023-04-19

曾幾何時,您坐下來對您的網站進行了完整的 WordPress 安全審核。 這不是您想像中的事情,但您這樣做是為了阻止邪惡的黑客。

  • 你繼續在你的網站上安裝了一個 WordPress 安全插件,因為專家們是這麼說的。
  • 更新了所有 WordPress 插件和主題,因為您確切地知道如果不這樣做會發生什麼。
  • 您閱讀了網站強化措施,並實施了那些持續有效的措施。

簡而言之:您 100% 確定您的網站是安全的,不會受到黑客的攻擊。

然後,幾個月後,你醒來時以為一切如常……

才發現你的網站被黑了。

它可以是任何東西。 它可能是惡意重定向到另一個站點。 或者您可能會發現您的網站上有彈出窗口,試圖出售與您的業務完全無關的東西。

那是當您意識到您未能保護您的網站時。

這是大多數 WordPress 網站所有者面臨的情況。 如果這就是您面臨的問題,那麼您就找到了正確的文章。

事情是這樣的:您唯一的錯誤是您認為 WordPress 安全審計是一次性活動。 當您勾選列表中的所有方框時,您認為一切都已完成並塵埃落定。

事實上,您的網站安全就像廣告一樣 — 它是一項持續的活動。 您不會停止為您的業務做廣告,對嗎?

網站安全工具和預防措施在不斷進步,但黑客不會坐以待斃,任由您控制您的業務。 這是你的事,你必須每天為之奮鬥。

WordPress 安全審核是確定哪些有效哪些無效的最簡單方法。 您的安全措施是否過時?

如果沒有每 3 個月進行一次 WordPress 安全審核,黑客入侵您的網站並破壞您的業務的可能性就會高得多。

但別擔心,這一切都可以通過確保您的安全措施是最新的來避免。 今天,我們將向您展示如何在您的網站上成功運行 WordPress 安全審核的步驟。

TL;DR:為了完全保護您的 WordPress 網站,我們建議使用安全插件。 安裝 MalCare 以定期掃描和監控您的網站。 它還會阻止對您網站的黑客攻擊。 是的,它還會每天自動為您進行 WordPress 安全審計。

什麼是 WordPress 安全審計?

大多數 WordPress 網站遲早會遇到安全問題。 例如,插件和主題可能會產生漏洞,黑客可以利用這些漏洞侵入您的網站。

一旦他們獲得對您網站的訪問權限,他們就可以轉移您的流量、顯示非法內容和廣告、欺騙您的客戶並竊取個人數據,以及一長串惡意行為。

WordPress 安全審計可以幫助及時識別這些問題,以便您可以採取措施來彌補您網站上的任何安全漏洞。 當您運行安全審核時,您將檢查您網站上現有的安全措施。 然後確定您可以在您的網站上實施哪些更多的安全措施以確保它受到保護。

完整的安全審核可能涉及多個步驟,如果您沒有適當的流程和清單,可能會變得一團糟。

現在,您很可能之前已經完成了 WordPress 安全審核。 本文的目的是幫助您設置一個流程,您可以在每 3 個月結束時重複一次。 理想情況下,應該每天進行一次 WordPress 安全審計。 但為了安全起見並且仍然合理,我們建議每個月都這樣做。

今天,我們將帶您逐步了解我們的 WordPress 安全審核指南。 此審計跟踪將使您能夠對您的網站進行完整而全面的審計。

如何運行成功的安全審計

在此審核中,我們將徹底審查您網站的安全性。 讓我們開始。

  1. 評估您的安全插件
  2. 測試您的 WordPress 備份解決方案
  3. 檢查您當前的管理員設置
  4. 刪除未使用的已安裝和活動的插件
  5. 刪除安裝的額外 WordPress 主題
  6. 評估您當前的託管服務提供商和計劃
  7. 檢查具有 FTP 訪問權限的用戶
  8. 檢查您的 WordPress 加固措施

wordpress 網站安全審計清單

1. 評估你的安全插件

您網站的安全插件是您的第一個檢查點。 如果您還沒有使用安全插件,請考慮立即在您的網站上激活一個。 安全插件保護 WordPress 網站免受黑客和機器人的攻擊。 有很多選項可供選擇。 但並非所有這些都有效,因此您必須選擇正確的安全插件。 以下是您的安全插件必須提供的功能列表:

1. 惡意軟件掃描——黑客總是在尋找易受攻擊的插件。 我們強烈建議使用每天掃描您網站的插件。 它應該進行深度掃描,檢查您網站的每個文件和文件夾,包括您的數據庫。

2.異地掃描——掃描過程需要大量的服務器資源才能運行。 如果插件使用您自己的服務器,掃描可能會使您的網站超載並導致其速度變慢。 尋找一個使用自己的服務器來掃描您網站的插件。

3. 防火牆——您的網站需要一個防火牆,它會主動阻止黑客和惡意機器人以及試圖闖入您網站的 IP 地址。 要設置防火牆,您需要技術專業知識。 但是,您可以找到為您安裝和激活它的安全插件。

4. 登錄保護——黑客經常攻擊您的登錄頁面並嘗試使用不同的用戶名和密碼組合來闖入您的網站(稱為暴力攻擊)。 安全插件應該能夠阻止此類攻擊。

5. 實時警報——如果您的網站上有可疑活動,插件會檢測到並立即提醒您。 這使您能夠迅速採取行動。

6. 惡意軟件清理——一個好的安全插件可以讓你快速清理你的網站。 它應該能夠完全清理您的網站。

7. 活動日誌——WordPress 安全審核日誌跟踪用戶在您網站上的活動,例如誰登錄、登錄嘗試失敗的詳細信息、WordPress 用戶在網站上做了什麼。 當您想弄清楚您的網站是如何被黑客入侵或進行了哪些更改導致其出現故障時,活動日誌會派上用場。

如果您覺得您的安全解決方案無效,您可以從可用的頂級安全插件中進行選擇。

我們建議使用 MalCare,因為它涵蓋了所有這些功能。 它擁有最好的惡意軟件掃描程序之一,可以檢測任何類型的惡意軟件。 此外,您可以在幾分鐘內清除任何惡意軟件感染!

2. 測試您的 WordPress 備份解決方案

如果出現任何問題,備份您的 WordPress 網站會派上用場。 您可以輕鬆恢復備份並讓您的網站恢復正常。

但是,如果備份失敗會怎樣? 如果無法恢復會怎樣?

這就是您需要測試備份的原因。 如果您使用主機備份,其中一些不提供測試選項。 以下是我們建議您測試備份的內容:

在您的 WordPress 網站上安裝 BlogVault 備份插件。 它會自動對您的站點進行完整備份。

請注意,第一次備份可能需要一段時間,因為它將整個網站複製到自己的服務器上。 後續備份速度要快得多,因為它使用增量技術,僅備份所做的更改。

備份完成後,從 BlogVault 儀表板訪問“測試還原”選項。

blogvault 測試恢復

完成後,它會提醒您恢復成功。

3. 檢查您當前的管理員設置

WordPress 允許多人協作並為 WordPress 開發和 WordPress 維護做出貢獻。 但並非每個 WordPress 用戶都需要完全訪問該站點。 例如,作家只需要訪問來編寫和發佈內容。 他們不需要訪問權限來進行其他更改,例如安裝插件或更改主題。

為防止為您站點上的每個用戶提供完全訪問權限,WordPress 有六種不同的用戶角色可供您分配——超級管理員、管理員、編輯、作者、貢獻者和訂閱者。 每個角色都有不同級別的權限。

WordPress角色

在進行 WordPress 安全審核時,您需要分析的第一件事是您添加到 WordPress 站點的用戶。

  • 檢查其中有多少用戶具有管理員訪問權限。
  • 確定有多少實際需要管理員訪問權限。
  • 通過更改不需要成為管理員的用戶角色來限制訪問並授予較低的權限。
  • 確保您可以識別儀表板上的所有用戶。 刪除您不認識的所有用戶,因為他們可能是黑客創建的惡意用戶帳戶。

接下來,確保您網站上的任何管理員都沒有使用用戶名“admin” 。 這是 WordPress 管理員最常用於其帳戶的用戶名。 黑客很清楚這一點,並嘗試使用該名稱來訪問您的站點

要將名稱從“admin”更改為更獨特的名稱,您需要先為該人創建一個新的用戶帳戶。 您可以將所有內容分配給您創建的新 WordPress 用戶。 接下來,您可以刪除舊的“管理員”帳戶。

4.刪除未使用的已安裝和活動插件

使用 WordPress 十多年,我們已經看到許多 WordPress 網站因易受攻擊的插件而被黑客入侵的案例。

WordPress 插件由維護和更新它們的第三方開發人員創建。 但是,與任何軟件一樣,隨著時間的推移,漏洞也會出現。 開發人員通常會及時修復它們並發布更新。 此更新將包含一個安全補丁,可消除您網站上的漏洞。

如果您延遲更新,那麼您的網站仍然容易受到攻擊。

  • 在審核期間,檢查您已安裝的插件列表。 我們中的許多網站所有者都傾向於嘗試新的主題和插件。 我們不使用其中的大部分,但忘記了它們仍然安裝在我們的網站上。 刪除您不使用的插件。 這將從您的站點中刪除不必要的元素,並減少黑客侵入您的站點的機會。
  • 確保您識別所有已安裝的插件。 如果您或您的團隊無法識別任何插件,我們建議您將其刪除。 這是因為當黑客入侵您的網站時,他們有時會安裝自己的插件。 這些插件包含後門,可以讓他們秘密訪問您的網站。
  • 如果您安裝了盜版或作廢的插件,請立即刪除。 此類軟件通常包含惡意軟件​​,會在您安裝時感染您的網站。 黑客使用盜版軟件來分發他們的惡意軟件。

現在您只有您使用的插件,請確保在開發人員發布更新時更新它們。

5.刪除安裝的額外WordPress主題

作為網站所有者,我們傾向於安裝不同的主題以找到我們喜歡的主題。 然而,很多時候,我們忘記刪除那些我們不需要的。 就像插件一樣,主題也會產生漏洞。

我們建議刪除所有其他主題並僅保留您正在使用的主題。 確保您使用的是活動主題的最新版本。

6.評估您當前的託管服務提供商和計劃

多虧了共享主機,更多的人可以在沒有大筆投資的情況下創建網站。 共享託管計劃更便宜,並且專為小型 WordPress 網站量身定制。

您可能在開始時選擇了共享主機計劃,但隨著您的成長,您需要評估是否需要升級。

共享託管計劃意味著您與其他網站共享服務器。 您無法控制共享您服務器的其他網站的行為。 如果他們的站點被黑客入侵,它可能會消耗過多的服務器資源。 這會減慢您的網站速度並降低其性能。 任何惡意軟件感染也有可能傳播到共享同一服務器的站點。 因此,如果您負擔得起升級費用,我們建議您切換到專用服務器。

如果您對當前主機的服務不滿意,您可以比較不同的主機,看看是否要將您的網站遷移到更好的主機。

7.查看有FTP訪問權限的用戶

FTP 是文件傳輸協議,可讓您將本地計算機連接到您的網站服務器。 您可以訪問網站的文件和文件夾並進行更改。

由於您可以添加、修改和刪除 WordPress 站點的文件,因此應該只向您信任且絕對需要訪問權限的人授予對 FTP 的訪問權限。

如果需要,我們建議您檢查 FTP 用戶列表並重置您的 FTP 密碼。 為此,您需要訪問您的 WordPress 主機帳戶 > cPanel > FTP 帳戶。

cpanel ftp 帳戶

在這裡,您將看到為您的網站創建的所有 FTP 帳戶的列表。 您可以刪除不需要訪問權限的那些。

8. 檢查你的 WordPress 加固措施

WordPress 推薦某些強化措施,使您的網站更安全。 這些包括:

  1. 在插件和主題中禁用文件編輯器
  2. 禁用插件安裝
  3. 重置 WordPress 密鑰和鹽
  4. 強制使用強密碼
  5. 限制 WordPress 登錄嘗試
  6. 實施雙重身份驗證

如果您需要更多指導,我們建議您閱讀我們的WordPress 強化綜合指南

在您的 WordPress 安全審計期間,我們建議檢查這些措施是否到位。 例如,如果您使用插件來限制登錄嘗試或 2 因素身份驗證,請確保該插件仍然有效並且是最新的。 檢查是否有更好的選擇。

許多強化措施需要技術專長才能實施。 但是,如果您使用的是 MalCare 安全插件,則只需單擊幾下即可實施 WordPress 強化措施。

malcare 網站很乾淨

這是需要定期執行的八項非常重要的任務。 我們建議每半年或至少每年進行一次審計。 為了總結我們所涵蓋的內容,您可以遵循以下清單:

WordPress 安全審計清單

1. 安全插件——評估你的安全插件。 我們建議使用 MalCare。

2. WordPress 備份 –測試您的網站備份以確保它可以恢復。 我們建議使用 BlogVault 的測試恢復選項。

3. 管理員用戶——檢查您當前的管理員設置。 確保您只向需要的人授予管理員權限。 刪除任何非活動用戶。

4. 插件 –刪除未使用的已安裝和活動插件。 只保留您實際使用的插件,並確保它們定期更新。

5. 主題——刪除安裝的額外 WordPress 主題。 僅保留您網站上的活動主題,並確保您使用可用的最新版本。

6. 虛擬主機——評估您當前的託管服務提供商和計劃。 我們建議使用受信任的網絡主機和專用服務器計劃。

7. FTP –檢查具有 FTP 訪問權限的用戶。 僅向需要的人授予訪問權限。

8. 強化——確保您的 WordPress 強化措施完好無損且是最新的。

最後的想法

我們希望本文能幫助您為 WordPress 安全審計創建可重複的流程。 如果您能定期執行此過程,我們保證您可以防止黑客繞過您的站點安全。

是的,完整的 WordPress 安全審計是一個漫長而乏味的過程。 但事實是,它可以幫助長期保護您的業務。

如果您認為 WordPress 安全審核過於繁瑣,您可以通過安裝 MalCare 插件來自動化該過程。 與大多數其他網站安全插件不同,MalCare 提供了一套全面的安全工具,其功能遠不止 WordPress 安全審核。

MalCare 可自動執行許多繁瑣的手動安全活動,例如惡意軟件掃描和刪除、定期站點備份、安裝防火牆和機器人保護以及 WordPress 強化。

您只需在最先進且易於使用的儀表板中單擊幾下,即可完成所有這些工作。

使用MalCare保護您的 WordPress 網站