• 主页
  • 文章
  • 主题
  • 数以千计的 WordPress 网站可能使用易受攻击的插件:以下是如何确保您的网站安全

数以千计的 WordPress 网站可能使用易受攻击的插件:以下是如何确保您的网站安全

已发表: 2024-05-06

2024 年 3 月,WordPress 插件 WordPress Automatic 中发现了一个严重漏洞。 WordPress 自动在 Code Canyon 市场上提供,是一种自动内容抓取工具,可以从外部源检索文章、视频、产品、图像和其他类型的内容,并自动在您的网站上重新发布这些内容。

研究公司 Patchstack 发现了该漏洞,使得恶意行为者可以利用 SQL 注入攻击来完全控制易受攻击的网站。 所有类型的网站(从电子烟商店到个人博客)如果使用未修补版本的插件,都容易受到攻击。

尽管该插件得到了及时修复,但一些网站所有者并没有安装该补丁,因为他们不知道问题的严重性。 最近对 WordPress 自动插件的用户评论表明,至少有一些网站因该漏洞而完全丢失。

没有哪个网站能够完全免受黑客攻击,而 WordPress(全球 43% 的网站都由 WordPress 提供支持)是恶意行为者的优先目标。

不过,好消息是:当网站确实遭到黑客攻击时,通常并不是因为黑客专门针对该网站。 更常见的是,网站被黑客攻击是因为它们运行了通过使用自动扫描仪发现的易受攻击的 WordPress 主题或插件。

换句话说,如果您的网站不存在可以通过扫描仪轻松发现并通过自动化方式利用的已知漏洞,那么黑客通常会继续前进。

考虑到这一点,您只需遵循一些常识性的安全实践,就可以保证您的 WordPress 网站的安全。 在本指南中,我们将准确解释您需要采取哪些措施来最大程度地降低不安全插件导致您的网站过早终止的风险。

及时更新您的主题和插件

当您登录 WordPress 时,如果您网站的主题或插件有可用更新,您将始终在侧边栏中看到通知。 在某些情况下,具有待更新的插件甚至会在页面顶部显示一条消息。 如果您的网站有大量插件,您几乎每次登录时都可能会看到更新通知,并且有时在下载和安装这些更新时可能会拖延。 不过,这样做会带来危险,因为您永远不知道更新何时可能包含关键安全问题的修复。

当 WordPress 自动插件的创建者收到有关安全漏洞的通知后,它立即进行了更新。 然而,据报道,保密协议阻止该插件的创建者讨论该缺陷,直到 Patchstack 公开该缺陷。 因此,一些用户忽略了此次更新。

维护完整站点和数据库备份

网络主机提供全自动网站和数据库备份变得越来越普遍,这对于安全来说是一件好事。 如果您的网站遭到黑客攻击,拥有可用的备份意味着您可以将网站恢复到之前的状态 - 有时只需单击一下即可。 如果您的主机不提供此服务,几个 WordPress 插件可以为您完成这项工作。 不过,维护多个不同时间点的备份库非常重要。 如果您的网站遭到黑客攻击,您可能需要一段时间才能注意到。

考虑运行安全插件

如果您的网站是您的企业,那么没有理由不采用某种安全解决方案。 安全插件可以自动监控访问尝试并阻止看似恶意的用户。 一些内容交付网络也提供这种服务。 安全插件还可以监视您网站的文件和原始代码,并在发生任何意外更改时通知您。 如果新文件突然开始出现在您的服务器上,则您的网站可能已被黑客入侵。

从可信来源获取您的主题和插件

WordPress 存储库始终是为您的网站查找主题和插件的最可靠的地方。 由于 WordPress.org 网站上的所有内容都是免费且开源的,因此所有插件和主题都受到庞大的 WordPress 志愿者社区的监控。 但在许多情况下,您可能需要免费主题或插件中不提供的功能 - 在这种情况下,您将不得不付费购买高级软件。 确保有人审核了代码并声明其安全。

删除未使用的主题和插件

WordPress 网站上安装的每个主题和每个插件都应被视为潜在的安全漏洞,因为这正是黑客正在做的事情 – 他们不断地审查现有的 WordPress 代码的每一点并寻找可利用的漏洞。 每次从网站中删除主题或插件时,您就消除了潜在的进入点。 检查网站的插件和主题并删除任何不使用的内容。 查看您的活动插件并确保您确实需要所有它们也是一个好主意。

寻找废弃插件的替代品

距离您上次看到特定插件的更新通知已经有一段时间了吗? 如果是这样,您可能需要检查插件的更改日志以确定其上次更新时间。 除非一个插件的功能非常简单,否则如果它超过一年左右没有更新,你应该认为它被作者放弃了。 在这种情况下,您应该搜索提供相同功能并且仍在积极更新的插件。 安全漏洞可能会在旧插件中潜伏很长时间,然后才会被发现 - 如果作者不再更新存在漏洞的插件,则该漏洞将永远不会被修复。

聘请开发人员审核旧插件和主题

假设您的网站有一个关键任务插件,已被开发人员放弃并且不再更新。 在这种情况下,您需要自己确保插件安全并且没有漏洞。 在这种情况下,雇用一名开发人员并让该人为您审核插件将是一个非常好的主意。 维护该插件可能会成为一项持续的费用,直到您找到替代品为止。

萨斯兰