恶意软件每年让企业损失惨重,包括收入、法律费用、品牌声誉和数据被盗。更糟糕的是,黑客不断更新他们的手段,所以恶意软件也在不断变化,越来越难发现。
几乎每天都有数据泄露事件发生,人们因此损失惨重。当WordPress管理员想防护自己的网站时,此时会在网络上搜索一些适用的关于WordPress安全建议,这种操作是没有问题的。
但是呢,互联网存在很多不详细,互相复制的安全建议,或者说有些建议是过时的,那么就会导致一个问题就是网站管理员真正实际操作起来,发现根本不起作用。
好在有了我们这样伟大的网站,我们是专业的一线互联网安全专家,对WordPress安全非常了解。我们会一步一步教你如何保护你的WordPress网站。所以当你发现我们提供的安全建议,你将不需要成为安全专家就能保护你的网站免受黑客攻击。
什么是WordPress安全?
WordPress安全就是保护你的网站、数据和访问者,防止恶意软件和它带来的麻烦。这就像给你的房子装上围栏、锁和安全系统,希望永远用不上,但一旦需要,你希望它们非常可靠。
你可能想知道WordPress是否安全,是否适合建网站。答案是肯定的,WordPress很安全。实际上,它占据了互联网的近一半,很多大品牌都用它来建网站。
WordPress安全的重要性
- 每年数十亿次的恶意软件攻击
- 全球钓鱼攻击数据
- 全球钓鱼攻击
大多数黑客攻击成功的原因要么是因为安全漏洞,要么是因为密码设置不当。我们会教你一些WordPress安全的小技巧,保护你的网站免受黑客攻击。这些技巧不需要你会编程或编辑WordPress文件。你的网站依然会受到保护,你也能轻松掌握WordPress安全。
WordPress安全最佳实践(14个技巧)
保护WordPress网站可能看起来比实际需要的要复杂得多。看到各种WordPress黑客攻击,比如垃圾邮件注入、钓鱼攻击或恶意重定向,可能会让人感到不知所措。
不过别担心。如果你按照下面的WordPress安全措施来做,你一定能拥有一个安全的网站,并保护你的数据不被黑客窃取。
1. 安装WordPress安全插件
保护你的WordPress网站最简单的方法就是安装一个安全插件。
我们推荐WP Cerber,因为它有很多优点:
- 自动恶意软件扫描
- 一键自动清除恶意软件
- 清除恶意软件和后门,防止再次感染
- 高级防火墙
- 检测漏洞
- 防止暴力破解
- 智能机器人保护
- 记录所有活动
- 不占用你网站的服务器资源
WP Cerber是一个全能的安全插件,结合了WordPress安全的三大要素:恶意软件扫描、清除和高级防火墙。
要使用WP Cerber保护你的网站,你只需要安装它,然后让插件自动运行。
2. 网站使用Web应用防火墙
Web应用防火墙(也叫网站防火墙)通过阻止恶意流量来保护你的WordPress网站。防火墙是WordPress安全的重要部分,因为它通过阻止恶意流量,确保这些流量永远不会到达你的网站。
WP Cerber防火墙
WP Cerber防火墙和安全插件是一体的。当你安装插件时,防火墙就开始工作,保护你的WordPress网站免受恶意软件的侵害。使用MalCare防火墙的好处包括:
- 保护你的网站免受各种攻击,比如SQL注入、远程代码执行、垃圾邮件注入、跨站脚本等
- 防止黑客利用你网站上的漏洞
- 为超过10万个网站提供全球IP保护
- 高级防火墙从每个受保护的网站中学习,主动阻止其他网站上的恶意流量
- 和WordPress一起加载,检查所有传入流量的恶意意图
- 无需配置,开箱即用
- 包含在所有WP Cerber的安全计划中
有不同类型的网站防火墙,根据它们的安装位置和工作方式进行分类。最有效的防火墙在WordPress之前加载,比如WP Cerber和Sucuri,因此它们可以过滤掉所有恶意流量。插件级别的防火墙,比如Wordfence,可以过滤掉大部分恶意流量,但不是全部,它们都有各自的优点和缺点。
3. 每天深度扫描WordPress网站
WordPress安全的第一步是尽快检测恶意软件。你可以通过使用WP Cerber这样的WordPress恶意软件扫描器来扫描你的网站。WP Cerber的好处包括:
- 每天自动深度扫描
- 识别最隐蔽的恶意软件和后门
- 高级扫描器,超越大多数其他扫描器使用的签名匹配
- 基于100多个信号进行风险评估来识别恶意软件
- 扫描WordPress核心文件、网站数据库以及插件和主题文件和文件夹(免费和高级版本)
- 95%以上的准确率,无误报
- 不使用网站资源运行扫描
使用WP Cerber,你将得到一个明确的答案,即你的网站是否被黑客攻击。一旦你有了扫描结果,你可以根据扫描结果在几分钟内清理你网站中的恶意软件或代码。
WP Cerber WordPress恶意软件扫描器
重要提示:如果你发现网站上有恶意软件,请立即清理。随着时间的推移,恶意软件会变得更糟,因为黑客有时间通过你的网站传播恶意软件,窃取你的数据,并感染设备和其他网站。优先清除恶意软件至关重要,否则你可能会面临Google将你的网站列入黑名单或你的网络主机暂停你的网站的风险。
恶意软件扫描器并非都相同,它们的有效性各不相同。大多数恶意软件扫描器使用签名数据库来检测网站上的恶意软件。它们将网站上的代码与所有签名进行比较,如果匹配,则将代码标记为恶意软件。
仅依靠签名数据库来检测恶意软件存在几个问题。
首先,数据库需要始终保持最新。由于恶意软件本质上是代码,它可以有无限的变化,因此较新的变体可能会通过匹配扫描器而未被标记。
其次,维护数据库的团队需要看到恶意软件才能将其添加到数据库中。对于免费插件和主题来说,这很容易,但高级软件往往被忽视。我们见过像Elementor和Divi这样的页面构建器或来自Envato和Themeforest的流行主题中的恶意软件未被检测到,原因就在于此。
4. 保持WordPress网站上的所有内容更新
网站被黑客攻击的主要原因是因为安全漏洞。漏洞是代码中的错误,允许未经授权访问网站,如不安全的文件上传或SQL注入。
WordPress核心、插件和主题都是用代码构建的,尽管开发人员尽了最大努力,偶尔可能存在漏洞。安全研究人员经常发现这些问题,并私下向开发人员披露,以便他们解决问题。负责任的开发人员随后会通过更新为他们的产品发布安全补丁。
WordPress插件仪表盘
更新发布后,安全研究人员会公开披露这些发现,以提醒用户他们网站上的漏洞。由于漏洞现在是公开的知识,黑客会尝试攻击那些尚未更新的网站。通常,他们会成功。因此,尽快更新网站上的所有内容非常重要。
更新网站可能有点令人畏惧,尤其是更新有时会导致网站崩溃。理想情况下,你应该在更新之前备份你的网站,使用暂存环境首先测试更新,然后才在实时网站上更新。BlogVault在一个地方处理所有这些方面,你可以安全地更新你的WordPress网站。
重要提示:永远不要使用盗版主题和插件。它们通常充满了恶意软件,而且由于它们是盗版的,开发人员不会为它们提供更新。
盗版插件示例:
5. 强制实施强密码策略
除了利用漏洞的方式攻击网站之外,WordPress网站被黑客攻击的下一个最大原因是密码设置不当。密码通常是WordPress安全中最薄弱的环节,原因有二:
- 容易记住,因此容易被猜到:我们见过无数网站被黑客攻击,因为管理员设置了像admin, admin@123, pass@123, P@ssword或类似组合的密码。黑客使用机器人尝试常见的密码,并使用不同的组合来破解WordPress网站。机器人有时每分钟可以尝试数百次。
- 从数据泄露中泄露的数据:密码很难记住,所以人们倾向于在不同的网站和产品中重复使用它们。然而,如果其中一个网站被黑客攻击并发生数据泄露,你的登录凭证就会被泄露。黑客拥有破解你网站所需的两样东西——你的电子邮件地址和密码。
你可以使用插件为所有用户强制实施强密码。用户将被要求设置强密码,这些密码在数据泄露中未被泄露。可以理解的是,强密码也很难记住,所以我们建议使用密码管理器。这种小小的不便绝对值得为你的网站带来的安全性。
6. 启用双因素认证
如果你按照上一节中的步骤操作,那么你已经有了一个强密码。但这并不改变一个事实,即在你的网站和黑客之间只有一道密码。
双因素认证为你的网站登录增加了额外的安全层。通常,你需要用户名和密码才能登录你的网站,而用户名通常是你的电子邮件地址。这意味着,如果攻击者知道你的电子邮件地址,他们只需要猜测一个认证因素——你的密码——就能获得访问权限。
添加另一个认证因素可以显著增强WordPress安全性,而且非常简单。你可以安装一个插件来实现这一点,而不需要摆弄代码。
以下是一些可以在你的网站上启用双因素认证的免费插件:
另外还有一些安全插件都集成了双因素认证的功能,例如:Wordfence的免费版本也有这个功能,iThemes Security也是如此。不过,我们不建议将iThemes用于双因素认证以外的任何其他用途,原因有很多,其中的一个原因就是根据自己的实际需要来使用,如果网站插件安装的太多,但实际用途却知识插件中的其中一个功能,那么是不合适的。
因此我们一直建议的是能不使用插件解决问题就不使用插件,除非到了万不得已的情况下使用一个专门做一个方面的垂直领域的插件来达到自己的要求。
7. 使用SSL
SSL是一种安全协议,用于加密网站之间的通信。当有人访问你的网站时,数据会从他们的浏览器发送到你的网站服务器,然后再返回。这就是互联网上通信的方式,许多信息都是通过这种方式传输的。
安装SSL证书非常容易。除此之外,SSL是一项值得花时间投资的事情,原因如下:
- 加密发送到和从网站服务器的数据,保护数据不被未经授权的人读取
- 启用了SSL的网站在大多数浏览器中URL旁边会有一个绿色锁,这对访问者来说是一个信任标志
- 谷歌积极推广SSL,如果网站没有SSL,会在搜索结果中显示“网站不安全”的消息
SSL的工作原理是加密通信,因此即使未经授权的人窃听,他们也无法理解传输的内容。
这有助于将其想象成电话通话。理想情况下,电话通话是通话两端两个人的私人对话。然而,如果第三个人能够接入电话线,交换的信息就会被泄露。
同样,你网站的通信也可能被泄露。但在你网站的情况下,交换的数据可能是敏感的,如身份信息或密码,这就是为什么加密是必要的。
使用Really Simple SSL设置非常简单,通常网络主机也会将其作为服务的一部分提供,除了这种方式,我还专门写了一篇文章介绍各种方式使用SSL证书,有兴趣可以参考:WordPress安全相关:如何添加网站SSL证书。
https://wordpress.org/plugins/really-simple-ssl/
8. 每天备份你的网站
众所周知,恶意软件会清除网站,或者导致网络主机删除网站及其备份。有时恶意软件会变得非常严重,以至于人们被迫从头开始重建他们的网站。然而,如果你备份了你的网站,你仍然有机会挽救你的网站。
备份功能
最好的WordPress网站备份是自动的、定期的、加密的、具有可靠的恢复功能,并且完全独立于你的网络主机。
许多备份插件将备份存储在与你的网站相同的服务器上,因此存在被你的实时网站所遭遇的任何问题影响的风险。
网络主机的备份只在最佳情况下有效,因为网络主机可能会非常迅速地删除感染了恶意软件的网站。
正常情况下如果我们购买了比较好的主机托管服务商,那么它们都会提供非常优质的备份服务,满足上述我说的所有要求。
9. 选择一个好的服务提供商
一个常见的误解是服务提供商应对恶意软件感染负责,因为人们错误地认为服务提供商没有保护他们的服务器。相反,如果发现他们的服务器上有恶意软件,服务提供商会损失很多,因此他们的安全性通常做的还是可以的。
我们说“通常”是因为服务提供商偶尔也会面临数据泄露。2021年11月,GoDaddy发生了一起数据泄露事件,暴露了120万用户的SFTP和数据库凭证。由于GoDaddy是最大的网络主机之一,这个数字相应地非常大。
然而,这是一个例外,而不是常态。一般来说,好的网络主机有网络防火墙和大量其他安全基础设施来保护他们的服务器免受恶意软件的侵害。
如果你正在寻找一个好的服务提供商,你应该寻找以下几点:
- 最新的基础设施
- 发布的安全政策和认证
- 明确的条款和条件,例如他们如何处理恶意软件
- 及时的7×24小时支持
10. 安全加固你的WordPress
WordPress安全加固是一个总称,指的是你可以采取的措施来增强你的WordPress安全性。严格来说,设置强密码和使用双因素认证也属于WordPress强化的范畴,但这些措施对安全性的影响非常大,而以下几点则是锦上添花。
有几种方法可以在你的网站上实施以下措施。如果你对编码感到舒适,那么你可以手动完成。我们提供了文章链接,告诉你具体的步骤。或者,你可以使用WP Cerber为你应用这些措施,或者保护你的WordPress网站免受漏洞被利用。
- 阻止在/wp-uploads文件夹中执行PHP:黑客可以上传一个PHP文件到你的网站,执行它并控制你的网站。这种类型的攻击被称为远程代码执行攻击。/wp-uploads文件夹不需要执行任何代码,因此阻止PHP执行可以完全防止这种类型的攻击。
- 限制登录尝试:黑客使用机器人对登录页面进行暴力破解攻击,尝试许多不同的密码。你可以通过暂时锁定用户或实施验证码来限制用户在一段时间内的错误尝试次数。这一措施减少了机器人猜测正确密码的总次数,并保护网站免受暴力破解。
- 禁用XML-RPC:XML-RPC功能是WordPress用于与其他系统通信的旧功能。近年来,它大多已被REST API取代,但为了向后兼容,它仍然包含在较新的版本中。它可以用来登录网站,这就是为什么它被认为是一个漏洞。
有很多关于安全加固WordPress以防止黑客攻击的文章。其中一些措施效果很好;其他措施虽然对安全性影响不大,但会妨碍你网站的可用性。通常,这种权衡并不值得。我们将在后面的部分中介绍一些属于这一类别的措施。
11. 删除任何未使用的插件或主题
偶尔检查一下已安装的插件和主题列表。如果它们不在使用中,这些插件和主题往往会因为更新而被忽略。然后,如果发现漏洞,它们就会成为你WordPress安全中的薄弱环节。
最佳实践是删除WordPress网站上任何未使用的主题和插件。至少,删除那些已停用的插件和主题。
12. 实施用户管理策略
黑客的目标是获取你网站的访问权限,而最快、最有效的方法是控制一个管理员账户。他们也可以通过恶意软件进入用户账户,并升级账户以获得管理员权限,尽管这更难做到。无论哪种方式,用户账户都可以成为进入你网站的门户。
因此,你应该采取以下步骤,确保没有任何用户账户当前被泄露,并防止它们在未来被泄露:
- 安装活动日志:对用户、文件、帖子、设置、插件、主题或网站其他部分的意外更改可能是用户账户被泄露的早期信号。事实上,许多黑客利用不足的日志记录来隐藏他们的活动。
- 定期审查用户:网站的管理可能会随着时间的推移而变化,比如作者和编辑的来来去去。密切关注用户,并删除那些不再需要访问网站的用户。休眠用户账户的密码与之前相同。如果他们在其他地方重复使用了密码,并且该密码是数据泄露的一部分,那么你的网站现在就会变得脆弱。
- 实施最小权限策略:确保给每个用户只提供他们访问网站所需的权限。作者不需要管理员权限,编辑也不需要。限制管理员用户的数量。
你可以从wp-admin内部轻松管理用户。WP Cerber安全插件就包含了详细的活动日志,这是我最推荐最喜欢此插件的功能之一。
详细的日志记录功能:
13. 使用SFTP/SSH
如果你不熟悉代码或管理WordPress的文件和文件夹,那么你可能不需要切换到SFTP或使用SSH。然而,如果你使用FTP,考虑改为使用SFTP。
它的工作方式与FTP完全相同,只是传输的数据是加密的,并且使用SSH进行传输。这意味着数据在传输过程中无法被读取,就像SSL如何保护HTTP上的数据传输一样。
14. 管理多个WordPress安装
有很多原因可能导致同一个网站文件夹中有多个WordPress安装。也许是一个暂存站点、一个子域,甚至是一个最终被新设计取代的旧设计。不管是什么原因,嵌套的WordPress安装是恶意软件再次感染的主要原因之一。
较旧的WordPress安装往往有被忽略的漏洞,因为它们不在主站点上。因此,它们很容易被黑客攻击。由于恶意软件很容易在WordPress文件和文件夹之间传播,这会导致主网站被感染。
即使管理员清除了主站点上的恶意软件,除非他们也对嵌套的安装进行同样的操作,否则恶意软件会再次出现。wp-vcd恶意软件就是一个很好的例子,它是一种非常顽固的恶意软件,绝对不会轻易消失。
关于WordPress安全的常见误解
关于WordPress安全有很多错误的信息。虽然这些信息都是出于好意,但仍然是错误的。作为安全专家,我们想揭穿一些我们在互联网上看到的最离谱的观念。
WordPress不是绝对安全
相反,WordPress作为一个安全的CMS已经得到了很好的开发。显然,它一开始并不是最安全的,但随着时间的推移,安全问题已经得到了解决。发布和补丁已经得到了处理,现在它是最好的选择之一。
WordPress之所以比其他平台更容易受到黑客和恶意软件的攻击,是因为它非常流行,全球使用WordPress的人太多了,使用的人多了,就会有恶意攻击者关注。所以黑客就会找更多关于WordPress相关的安全漏洞是,站在攻击者的角度找到了0day漏洞,对于它们来说有很多利用的价值,因此回报也会很大。
事实上,正因为这种持续的威胁,WordPress已经消除了许多其他CMS仍然存在的安全问题。
服务提供商会对你网站上的恶意软件负责
至少95%的情况下,他们不负责。网站主要被黑客攻击是因为漏洞或被泄露的密码。这两件事都完全在网站所有者和管理员的控制和责任范围内。
如果发现他们的服务器上有恶意软件,服务提供商会损失很多。当服务提供商发现你的网站存在恶意软件,它们不会帮你清理你网站上的恶意软件,它们只会将其隔离并暂停你的网站,直到你清除并修复网站中的恶意软件或代码。
由于此原因,这也就是为什么他们可能会非常迅速地暂停那些有恶意软件的网站。
多个WordPress安全插件会更好地保护你的网站
我们可以理解这个误解背后的逻辑:如果一个安全插件在一个方面做得好,另一个在另一个方面做得好,那么使用两者我就能覆盖所有方面。嗯,不。
我们做了一系列测试,对所有主要的安全插件进行了相当彻底的测试。iThemes Security、Jetpack和Sucuri都无法检测到我们被黑客攻击的网站上的恶意软件。而这只是一个失败的例子。
我个人会推荐WP Cerber这款安全插件,因为它的免费功能就能覆盖大部分必要的安全功能,必须是能够扫描、清理和防护得当,才能配得上安全插件的称号。
所有WordPress安全加固建议都是好的
下面3个加固建议,可根据实际情况来配置操作,请一定要清除,并不是说按照安全加固的要求和建议操作了,网站就一定安全,就一定不会被攻击,这种说法是错误。
- 隐藏WordPress版本号
- 更改登录URL
- 更改数据库表前缀
我们始终要清楚安全是一个相对的话题,做了安全加固只能说你的网站被黑客攻击的概率会降低,只能说你的网站技术不强的脚本小子是攻击不成功的。
所以如果你的网站做了下面的3个安全加固建议,也是可以行的,可以说可做也可不做,或者直接说即使做了,对网站安全的意义不是太大:
此外,避免以下设置。强烈建议你不能像下面这样设置,因为如果你管理多个网站,这可能会产生大问题。
- 基于地理封锁:地理封锁涉及将一系列对应于你想阻止访问你网站的地理位置的IP列入黑名单。这可能是一个城市、一个国家或一个地区。然而,IP并不总是100%准确,所以你可能会阻止你想要的访问者。除此之外,如果你阻止了一些国家,那些国家运营的搜索机器人将无法索引你的网站。
- 保护单个核心文件:一个好的防火墙应该处理这个问题,一个可靠的扫描器会快速在WordPress核心文件中找到恶意软件。
我的网站是个小破站,不会被黑客攻击
无论是否明显,网站都有价值。所有网站都有可以用于多种用途的资产。网站所有者往往认为自己的小破站不会引起黑客的注意。这不是真的。虽然较大的网站有更多的价值,但这并不完全否定小型网站的价值。
例如,一个小型网站可能不是一个商店,因此没有财务细节。但它可以被用作僵尸网络的一部分。或者它可能有一个小的忠实用户群,可以通过他们的电子邮件地址进行钓鱼诈骗。
因为人们倾向于在不同的账户中使用相同的密码,理论上现在可以使用这些信息黑入另一个网站或系统。你的网站在这个事件链中扮演了一个小但关键的角色。
为什么WordPress安全很重要?
被黑客攻击的WordPress网站对所有相关人员来说都是一场噩梦。企业会损失收入和品牌声誉。黑客可以窃取你网站访问者的数据、身份和密码。恶意软件可以从你的网站传播到其他网站和设备。你会看到你的SEO排名下降,Google可能会将你的网站列入黑名单,你的网络主机可能会暂停你的账户。这一切都是因为黑客和他们的恶意软件。
被黑客攻击的网站的影响可能是广泛的负面后果。而这些后果不仅限于单个网站及其所有者和管理员,还具有深远的意义。
本篇文章的要点内容
WordPress安全之所以重要,是因为它保护了你的WordPress网站、你的业务、你的访问者、你的网络主机和你自己免受恶意软件对每个人造成的损害。简而言之,WordPress安全意味着保护你在互联网上的角落免受不良行为者的侵害。最好的方法是安装一个像MalCare这样的安全插件。
常见问题解答(FAQ)
什么是最好的WordPress安全措施?
最好的WordPress安全措施包括:
- 安装一个可以扫描和清除恶意软件的安全插件
- 安装一个防火墙来阻止恶意流量
- 每天扫描你的网站以查找恶意软件
- 保持你的WordPress、插件和主题更新
- 实施双因素认证
- 确保你使用强密码策略
- 安装SSL证书
必须具备的安全要求是什么?
WordPress网站最重要的安全要求是一个好的安全插件,它可以扫描和清除恶意软件。它还应该能够通过防火墙保护WordPress网站免受黑客攻击。
如何保护我的WordPress网站?
保护你的WordPress网站的最佳方法是安装一个WordPress安全插件。WP Cerber是一个非常优秀的安全插件,可以检测你网站文件和数据库中的恶意软件,并在几分钟内清除它。此外,一个好的安全插件还会配备一个防火墙,防止恶意流量利用网站上的漏洞。
为什么WordPress安全很重要?
WordPress安全很重要,可以保护你的WordPress网站免受想要窃取你和你的访问者数据的黑客的侵害。恶意软件每年造成数十亿美元的损失。WordPress管理员应该采取措施保护他们的网站、数据和访问者免受恶意软件可能造成的损害。
WordPress有多安全?
WordPress非常安全,但没有任何软件是100%防黑客的。这包括WordPress及其插件和主题。然而,通过安装安全插件并采取其他安全措施,可以更好地保护WordPress。
