頂級 WordPress 安全錯誤以及如何修復它們 - MalCare

已發表: 2023-04-13

WordPress 安全錯誤:您知道嗎,每分鐘大約有 90,978 次黑客嘗試在 WordPress 網站上進行? 一旦您的網站遭到黑客攻擊,黑客就會使用它來執行各種惡意活動,例如發送垃圾郵件(閱讀 - 網絡釣魚黑客)、攻擊其他網站、注入垃圾郵件鏈接、重定向訪問者等。

這就是為什麼像您這樣的 WordPress 網站所有者必須認真對待他們的安全問題。 沒有可以用來解決所有安全需求的靈丹妙藥,而是您需要正確地做很多事情。 在 Internet 上,有無數關於如何確保站點安全的建議。 其中有些是相互矛盾的建議,有些只是過時了。 關於網站所有者應該做什麼和不應該做什麼的眾多意見會帶來混亂,在所有這些混亂中,錯誤是不可避免的。

維護站點的安全性並非易事,尤其是對於容易犯錯誤的新站點所有者而言,這些錯誤可能會使他們容易受到常見的黑客攻擊。 了解網站所有者常犯的安全錯誤將有助於避免這些錯誤。 這就是我們提出此列表的原因,以便可以停止犯大多數 WordPress 網站所有者所犯的錯誤。

網站所有者常犯的 WordPress 安全錯誤:

我們建議在採取以下任何措施之前運行 WordPress 安全審計 –

1. 不更新 WordPress 核心、插件和主題

保持 WordPress 核心和附加組件(即主題和插件)更新是一個很好的安全措施。 更新它們不僅可以為站點添加更多功能,還可以幫助修補漏洞。 由於 WordPress 所處的生態系統,有關漏洞的消息傳播得非常快,黑客試圖利用這種情況。 如果您不更新有助於修補漏洞的網站,您的網站將變得很容易被入侵。

雖然一些網站所有者不更新他們的網站,因為他們不知道更新如何與安全相關聯,但其他人則擔心不兼容。 更新 WordPress 核心及其附加組件後,WordPress 網站可能會崩潰。

WordPress 升級旨在與所有以前的版本兼容。 因此,如果您的站點運行的是 4.1 版,您仍然可以將其更新到最新版本,例如 4.9。 但是儘管採取了所有預防措施,每次更新都會帶來網站崩潰的消息。 這是最新的 WordPress 版本 4.9.6 中的示例

在更新 WordPress 附加組件(即主題和插件)時,您可能會遇到類似的問題。 主題和插件中經常出現不兼容問題,因為開發人員匆忙發布新更新或者開發人員不稱職。 插件和主題的市場競爭非常激烈,為了脫穎而出,開發人員被迫在最短的時間內添加越來越多的新功能。 有時他們沒有足夠的時間來查看該版本是否與以前的每個 WordPress 版本兼容。 因此,如果有人使用非常早的 WordPress 版本,並更新了一個僅適用於最新的幾個 WordPress 版本的插件,他的網站就會崩潰。

圍繞 WordPress 核心和附加組件之間的兼容性問題的擔憂可能會導致網站所有者跳過安全更新。

如何解決這個問題:暫存服務可以解決這個問題。 為了測試 WordPress 核心及其附加組件的安裝而創建重複站點的過程稱為暫存。 BlogVault之類的備份服務甚至Kinsta之類的 Web 主機提供商都提供暫存環境。 請諮詢您的網絡託管服務商或備份服務(如果您正在使用),看看他們是否可以選擇暫存網站。 如果沒有,則註冊一項允許您暫存站點的服務。

除了更新您的插件、主題和核心之外,我們強烈建議您更新您的 WordPress 鹽和安全密鑰。

2. 使用劣質插件

並非所有的 WordPress 插件和主題都製作精良。 有些忽略了質量保證檢查,而另一些則是由業餘程序員開發的。 重要的是,用戶要注意他選擇使用或購買的東西。 但不幸的是,許多 WordPress 用戶沒有任何技術知識,這使他們無法了解插件或主題的好壞。

如何解決這個問題:為了幫助這些用戶,我們列出了一些有助於發現好的主題或插件的特徵:

我。 確保您從 WordPress 插件存儲庫等知名來源或 Elegant Themes、Themeforest 等熱門賣家處獲取附加組件。

二. 確保附加組件在 WordPress 存儲庫中具有良好的評級,並由在其網站上使用過該主題/插件的人進行審查。 快速谷歌搜索將幫助您找到評論。

三. 確認該插件已經存在很長時間並且經受住了時間的考驗。 查找 WordPress 存儲庫或官方網站中列出的安全更新和錯誤修復。

四. 並確保它們經常更新,並且最近的更新是在不到 2 個月前進行的。

3. 使用非法插件和主題

許多網站免費出售高級主題和插件。 使用這些免費產品可能會帶來災難,因為其中許多 WordPress 附加組件都被故意注入了惡意軟件。 將這些非法插件安裝到您的網站就像打開大門並邀請黑客訪問您的網站。 一旦攻擊者設法使用您剛剛安裝的主題/插件中的錯誤代碼闖入您的站點,他們將使用您的站點執行許多惡意活動,例如發送垃圾郵件或攻擊其他站點。 此外,如果您的網站上有惡意軟件,則會將其視為受到損害,這會導致託管服務提供商暫停您的帳戶搜索引擎(例如 Google)將您的網站列入黑名單,並暫停您的 AdWords 帳戶。

如何解決:ThemeForest Elegant Themes等熱門市場購買原創主題和插件。在促銷期間,可以以低得多的價格購買主題和插件。 可以尋找我們選擇的主題或插件的官方網站。

4. 在您​​的網站上保留未使用的插件和主題

在網站上保留未使用的主題和插件為黑客提供了滲透您網站的機會。 許多站點所有者不更新不活動的附加組件,因為他們不知道安全優勢。 對他們來說,更新帶來了新功能,並且由於他們沒有使用插件,他們認為他們不需要新功能。 如果發布更新以修補漏洞,那麼在您更新之前,您的網站仍處於風險之中。

如何解決這個問題:這裡唯一的解決方案是擺脫不活動的 WordPress 主題和插件。 就是這樣:

從您網站的 WordPress 儀表板訪問“已安裝的插件”頁面。

WordPress 安全錯誤

在該頁面中,有一個名為“非活動”的選項。 選擇那個。

WordPress 安全錯誤

它會轉到另一個頁面,您可以從中刪除不活動的插件 但在點擊“非活動”按鈕之前,我們建議您確保在不久的將來不需要該特定插件。

WordPress 安全錯誤

5. 使用不良的網站登錄做法

兩種常見但非常危險的登錄做法是使用易於猜測的登錄憑據,並且在不使用站點時不註銷。 攻擊者對機器人進行編程,這些機器人嘗試結合使用易於記憶的用戶名(如 admin)和密碼(如 password123)來登錄您的網​​站,從而入侵網站。 這種入侵網站的奇特方法稱為蠻力攻擊。

如何解決這個問題:建議您使用唯一的用戶名和密碼(推薦閱讀 – WordPress 登錄頁面保護指南)。 這裡的一個缺點是獨特的憑據很難記住。 因此,您必須維護一份載有這些憑證的文件。 並確保文檔已加密以防止未經授權的訪問。

6. 給每個用戶管理員權限

讓每個用戶都成為管理員不是一個好主意,尤其是對於有大量用戶且網站所有者不認識的網站。 WordPress 允許網站所有者為用戶分配以下角色——管理員、編輯、作者、貢獻者、訂閱者、SEO 經理、SEO 編輯。 讓每個人都成為管理員是有風險的,因為它授予對站點所有區域的訪問權限。

允許用戶不受限制地訪問整個站點會導致利用,如TechCrunch (一個流行的技術站點)在本例中所見,他們被 OurMine(一個黑客組織)攻擊了。 在獲得用戶帳戶訪問權限後,OurMine 能夠在網站上發帖。 這是 TechCrunch 被黑後讀者醒來時的主頁截圖:

WordPress 安全錯誤WordPress 安全錯誤WordPress 安全錯誤

如何解決這個問題: WordPress 上的每個用戶角色只允許訪問網站的特定區域。 根據您需要用戶在您的站點上執行的操作,您可以分配這些角色。 遵循這一原則可確保只有您信任的人才能訪問整個站點。 如果出了什麼問題,你知道誰該負責。

7. 不做備份

備份是您的安全網。 當災難來臨時,沒有一個到位可能會給您帶來麻煩。 如果您的網站遭到黑客攻擊並且帖子被刪除,您可以使用備份輕鬆地將您的網站恢復正常。 但不建議只使用任何備份服務,因為許多備份服務效率不高。 例如,許多備份插件將備份存儲在您的 Web 服務器中。 其中一些將備份存儲在一個地方。 您的網站服務器不是存儲備份的理想場所,因為服務器承擔了在執行常規流程之上進行備份的負擔。 它會降低您的網站速度。 只存儲一個備份意味著如果您丟失了那個備份,您將沒有其他備份可以依靠。

如何解決這個問題:在選擇備份服務之前,檢查功能以查看它們存儲備份的位置。 如果找不到合適的信息,請給他們發郵件,直接詢問他們存儲備份的位置以及是否將其存儲在多個位置。 要了解有關如何選擇可靠備份的更多信息,請查看這篇文章

8. 不使用安全服務

許多網站所有者,尤其是那些擁有流量較低的小型網站的所有者,認為他們的網站微不足道,因此不會引起黑客的注意。 但是今天的黑客有充分的理由攻擊小型網站 他們可能用它來存儲文件或發送垃圾郵件等。 事實上,許多黑客組織更喜歡攻擊小型網站,因為小型網站對其安全性鬆懈,因此更容易被黑客入侵。 他們發起大規模的暴力攻擊,機器人試圖猜測正確的用戶名和憑據以闖入網站。 最受歡迎的黑客技術之一涉及利用易受攻擊的插件和主題。

如何解決這個問題:標準的安全服務提供基本的安全功能,如 WordPress 防火牆,有助於防止黑客暴力破解您的網站。

除了採取上述措施來修復您的網站外,您還可以採取更多的安全措施。 我們強烈建議遵循本指南 – 使用 wp-config.php 保護您的 WordPress 站點。

每當插件或主題甚至核心出現漏洞時,開發人員都會通過更新發布補丁。 因此,保持所有主題、插件和 WordPress 核心更新是一個很好的安全實踐。 MalCare – 最好的 WordPress 安全插件之一提供站點管理功能,允許您從 MalCare 儀表板更新插件、主題和 WordPress 核心。 這對需要維護許多網站的人特別有幫助。 登錄每個網站並更新主題、插件和核心是一項耗時的工作。 MalCare 等服務使網站所有者更容易遵循良好的安全實踐。

除了防火牆和站點管理,安全插件還提供日常掃描服務。 如果您的網站感染了惡意軟件,該插件將幫助您修復被黑的網站。 如果您對直接為您提供 WordPress 網站維護服務以全面管理您的網站安全的團隊感覺更舒服,WP Buffs 將是一個不錯的選擇。 他們負責更新、安全、網站速度和持續編輯,無論您管理的是 1 個網站還是 1000 個網站!

接下來是什麼?

使用一個好的 WordPress 安全插件是構建安全網站或保持 WordPress 安全的第一步。您可以採取更多的安全措施,包括 IP 阻止、保護登錄頁面,並遵循有關 WordPress 安全的完整指南以進一步了解如何保護您的 WordPress 網站。

如果您過去犯過這些錯誤中的任何一個,希望這篇文章能幫助您了解您做錯了什麼以及如何解決這些錯誤。 我們歡迎您就這些 WordPress 安全錯誤及其修復提出任何問題。 請通過我們的聯繫我們頁面與我們聯繫