WordPress 安全流程; 測試、強化、監控、改進
已發表: 2020-06-11WordPress 安全與許多其他 IT 安全領域沒有什麼不同。 這不是一次性修復。 這是從未真正完成的事情。 雖然您可以採取幾個步驟來提高 WordPress 的安全性,但您的網站和業務需求將會發生變化。 所以採用時間點安全評估只會給你一種錯誤的安全感。 相反,獲勝的策略是遵循一個連續的過程。 不斷測試您的防禦並對其進行迭代以改善您網站的安全狀況的過程。
本文旨在提供一個易於遵循的長期迭代過程,您可以實施以確保您的 WordPress 安全工作是持續的,並繼續與您和您的業務運營的威脅環境相關。
1. 測試 WordPress 安全性
大多數 WordPress 安全之旅從這裡開始; 您注意到您的 WordPress 安裝配置錯誤,或者您閱讀了有關使用 WPScan 或 nmap 之類的工具來評估 WordPress 網站的安全性的信息。 也許您是安全事件的受害者,並且您想了解如何測試您的 WordPress 安全性。
安全測試是持續 WordPress 安全策略中的重要一步。 通過與攻擊者相同的視角查看您的網站,您可以更好地了解其安全狀況。 這意味著您將了解可以採取哪些措施來加強針對您發現的弱點的防禦。 有關這方面的更多詳細信息,請參見步驟 #2。
如果您不確定從哪裡開始測試 WordPress 安全性,請聘請第三方專業人士。 當然,沒有什麼能阻止您逐漸積累知識來親自測試您的 WordPress 網站。
2.強化WordPress
一旦您了解了您的安全測試發現了什麼,就該加強您的 WordPress 安裝了。 默認情況下,WordPress 相當安全。 但是,您可以對 WordPress 設置和服務器基礎設施進行大量選擇、優化和更改,以使攻擊者的生活更加艱難。 其中許多優化——其中許多可能取決於您的用例。 這個過程通常被稱為“安全加固”,或者簡稱為“加固”。
強化您的 WordPress 安裝肯定不是一次性的事情。 您將需要安裝新插件並擴展 WordPress 網站的功能以適應不斷變化的業務需求。 當然,讓您開始支持 WordPress 安全性的資源並不短缺。 以下是強化 WordPress 設置時應遵循的兩個核心原則。
運行更少的軟件
最初“少運行軟件”聽起來不是很有幫助。 但是,很可能您運行的軟件超出了必要的數量。 這也意味著攻擊者有更多空間利用該額外軟件中的潛在弱點。
如果您不確定從哪裡開始,請先查看您的 WordPress 插件。 問問自己沒有什麼可以做,然後刪除。 將相同的原則應用於 PHP 擴展、Web 服務器配置以及操作系統工具和網絡服務。
剝離軟件通常不是一個容易開始的過程。 但是,每次您進行此練習時,它都會變得更加困難。 儘管運行更精簡的系統的結果是值得付出努力的。
除了始終確保測試測試或登台環境中的任何更改之外,您還需要確保不刪除諸如 WordPress 防火牆、WordPress 活動日誌或 WordPress 文件完整性監控插件之類的軟件,這些都是為了提高您的 WordPress 安全性。
這也適用於停用的插件和主題。 停用的插件應立即刪除,因為在某些情況下,如果存在漏洞,它們的代碼仍然可以被利用。 關於主題,您的網站僅使用一個主題。 如果您有一個子主題設置,可能有兩個。 刪除您網站上的所有其他主題,包括 WordPress 附帶的默認主題。
最小特權原則
WordPress 不需要 root MySQL 用戶來運行。 同樣,在 Linux 服務器上以 root 身份運行大多數軟件也是一個壞主意(相當於 Microsoft Windows 上的管理員)。 僅在有正當理由的情況下才使用 admin / root 帳戶。
在這種情況下,作為一般規則,始終盡最大努力為應用程序或用戶提供盡可能少的權限以完成工作。 當然,以 root 或管理員身份運行一切意味著一切都可以正常工作,而無需擔心特權。 但是,這可能非常危險。 以管理權限運行應用程序(包括 cron 作業等任務)可能會使攻擊者或惡意插件在發生安全漏洞時造成更大的破壞。
如果您不確定從哪裡開始,請先查看誰是 WordPress 中的管理員,然後決定是否需要以某種方式對其進行限制——當您使用它時,您可能需要確保自己是通過 HTTPS (SSL) 訪問 WordPress 管理員,並且您已經實施了雙重身份驗證 (2FA)(或者至少您已經為您的 WordPress 管理員實施了 HTTP 身份驗證)。
當然,您可以採用其他幾個 WordPress 安全強化技巧來改善 WordPress 網站的安全狀況。 請參閱我們的 WordPress 安全教程和提示以了解更多信息。
3.監控WordPress
日誌對於維護任何系統的安全都是至關重要的。 它們是我們擁有的最接近時間機器的東西。 在調查安全事件時,能夠回答發生的事情和時間是必不可少的工具。 訪問正確的日誌可能意味著注意到攻擊者已經在您的網站上站穩腳跟和讓搶劫被忽視直到為時已晚之間的區別。
與日誌記錄相輔相成的是監控。 在其最基本的形式中,監控等待某個事件發生(通常通過定期查看一些日誌),記錄它並通常配置某種警報系統來提醒系統管理員發生了某事(例如 WordPress 入侵檢測系統)。 雖然許多系統管理員通常會監控 CPU 和內存使用情況,但他們可能缺少對 WordPress 的監控訪問權限。
WordPress 活動日誌
能夠回顧 WordPress 活動日誌以準確了解用戶在特定時間範圍內所做的事情是調查中的關鍵分析工具。 此外,您希望能夠將此信息與 Web 服務器、PHP 錯誤和數據庫日誌相關聯。 這裡有一些提示,可確保您至少正確地涵蓋了基本的日誌處理。
- 確保正確輪換日誌,以確保不會耗盡磁盤空間
- 定期將您的日誌備份到異地備份(例如 Amazon S3 或 Digital Ocean Spaces)
- 確定您希望將日誌保留多長時間並配置活動日誌保留策略。 建議至少保留 1 年
- 確保您可以在事件發生期間快速訪問日誌中的重要信息
其他日誌
除了 WordPress 活動日誌之外,作為站點管理員,您還可以訪問許多其他日誌,例如 Web 服務器日誌、PHP 日誌等等。 請參閱 WordPress 管理員的日誌文件列表,以了解有關您有權訪問的所有不同日誌文件的更多信息。 這些帖子還強調瞭如何使用所有日誌中的信息來跟踪事件或攻擊。
4. 提高您的 WordPress 安全性
完成上述循環後,下一步就是嘗試分析下一次可以做得更好的地方。 正如本文開頭所討論的,請記住,安全是一個持續的過程——嘗試及時了解 WordPress 安全新聞,最重要的是,確保您始終掌握 WordPress 安全更新。
一旦你經歷了幾次這個過程,試著記錄你自己的過程的細節。 讓它成為你經常遵循的例行公事。 此外,每當您對 WordPress 網站進行更改時,請牢記安全性。 每當您對網站進行更改時,請遵循測試、強化、監控和改進網站安全的迭代 WordPress 安全流程。