WordPress 安全指南:让 WordPress 安全 2022

已发表: 2022-02-17

想象一下:

你打开你的 WordPress 网站,眼睛明亮,尾巴浓密,并准备上传你最新的博客文章……只是遇到一堆奇怪的内容,引导人们从粗略的网站购买药丸。

这是大多数网站管理员最糟糕的噩梦,但它可能会发生在您的 WordPress 网站上……如果您没有实施正确的安全最佳实践。

我们不是想吓唬你——WordPress安全的。 它有一个专门的安全团队和一群知识渊博的贡献者和开发人员来帮助保持这种状态。

但是,如果您没有通过遵循 WordPress 安全最佳实践来建立这个安全基础,那么您可能会为恶意行为者打开大门,让他们的毒牙进入您的网站。

在这篇文章中,我们将帮助您了解这些最佳实践是什么,以便您可以阻止噩梦般的场景成为现实。

为此,我们将介绍以下部分:

  • WordPress安全吗?
  • 为什么你不应该等待让你的安全秩序井然
  • 现在可以为安全做的 21 件事
  • 安全漏洞的风险
  • 如何判断您的网站是否被黑客入侵
  • 三个一流的 WordPress 安全插件
  • 要实施的三种最重要的安全策略
  • 监控和修复 WordPress 安全漏洞

虽然您可能需要几个小时来完成这篇文章中的最佳实践,但现在的小额投资将在未来以安全、防弹的 WordPress 网站的形式获得回报。

WordPress安全吗?

WordPress 为互联网上超过 43% 的网站提供支持,这意味着它是恶意行为者的多汁目标。

WordPress 如此受欢迎的事实也意味着它被各种各样的人使用,包括知识水平截然不同的人。 想想经验丰富的开发人员与刚刚发布第一个博客的人……以及介于两者之间的所有人。

这里有好消息也有坏消息……

好消息:

WordPress安全的。 这就是为什么它被这么多普通人以及美国白宫和 Facebook 等大型组织使用的原因。

重视安全性的大品牌使用 WordPress

Facebook 和白宫不会将他们的网站交给一个不安全的平台。 更重要的是,如果 WordPress 不安全,互联网上 43% 的网站将无法在 WordPress 上运行。

坏消息

很多 WordPress 网站确实被黑了。 在 Sucuri 的被黑网站报告中,WordPress 通常是被黑最多的平台(请记住——它非常受欢迎)。

那么 – WordPress 怎样才能安全并且网站也被黑客入侵了呢? 这些不是相互排斥的东西吗?

嗯,答案完全在于人们如何使用 WordPress。

如果您主动遵循安全最佳实践,就像我们将在这篇文章中介绍的那样,您可以确保您的 WordPress 网站安全并避免出现问题。

WordPress 拥有一个大型安全机构,包括一个 50 多名成员的官方安全团队和一系列经验丰富的开发人员,他们构建安全扩展并标记潜在问题。

这些人在使 WordPress 安全方面做得很好——但如果你想保持这种状态,你仍然需要尽自己的一份力量。

如果您不依靠这些 WordPress 贡献者的辛勤工作并遵循最佳实践,您可能会犯错误,从而在 WordPress 软件中打开漏洞,无论是使用弱密码、安装易受攻击的插件还是其他原因。

为什么你不应该等待认真对待 WordPress 安全性

WordPress 安全性是那些感觉没什么大不了的事情之一......直到它真的很重要

在营销和发展网站方面,您有很多事情要做,因此很容易将安全性推到后面,因为很难将安全性改进与流量或收入等增长指标联系起来。

我们在这里有点直言不讳,但这种思路非常短视。 实施下面的 WordPress 安全检查表需要一些时间,并且可能需要一点钱,但与您的网站遭到破坏时您将“支付”的费用相比,这些费用相形见绌。

一次安全漏洞很容易在损失时间、收入、SEO 流量和对访问者的信任方面“花费”更多。

基本上,您不想以网站的安全性为赌注。 现在花时间保护自己免受日后巨额成本的影响。

关于 WordPress 安全您现在可以做的 20 件事

到目前为止,我们已经讨论了理论。 现在,让我们开始转向一些可操作的策略来锁定您的网站,从您现在可以实施以保护您的网站的 WordPress 安全清单开始

1. 了解基本的 WordPress 安全主题

在更改您网站上的任何内容之前,您需要了解 WordPress 安全性的基本主题:

  • 限制访问——通过预期的方法(用户帐户)和非预期的方法(漏洞)限制对您网站的访问。
  • 包含问题——如果恶意行为者确实获得了访问权限,您希望限制他们可以造成的损害。
  • 仅使用受信任的第三方——虽然 WordPress 核心是安全的,但您添加到站点的每个扩展都是一个潜在的漏洞。

2. 及时应用 WordPress 更新

为了保护您的网站免受新出现的安全漏洞的影响,及时应用 WordPress 核心更新、插件更新和主题更新至关重要。 对于安全更新尤其如此,您应该立即应用它*。

*安全更新在版本号中有两个点——例如 5.9.1。 您可以等待应用主要功能更新,这些更新只有一个点——例如 5.9。

3. 对所有内容使用强密码

为您的 WordPress 管理员帐户、主机帐户和其他工具(例如 SFTP 凭据)使用强而唯一的密码可以大大有助于防止暴力攻击和其他类型的基于登录的攻击。

要安全地存储密码,您可以使用密码管理器,例如 Bitwarden 或 LastPass。 这些密码管理器还可以帮助您生成唯一密码。

4. 使用受信任的插件

仅安装来自仍在积极维护插件的受信任开发人员的插件,以解决新的 WordPress 版本和新发现的漏洞。

5. 保护您的计算机

确保用于访问 WordPress 站点的计算机是干净的。 使用优质的防病毒软件并定期执行恶意软件扫描。

6.锁定您的登录页面

除了使用强密码外,您还可以使用限制登录尝试和双重身份验证等策略来保护您的登录页面。 您可以使用免费的特定于功能的插件来完成此操作,例如重新加载限制登录尝试和两因素身份验证。 或者,您可以使用我们将在本文后面讨论的一些广泛的 WordPress 安全插件。

您还可以更改 WordPress 登录 URL。 虽然如果您实施上述提示,这不会增加太多额外的登录安全性,但它可以减少机器人流量。

7. 定期备份

定期备份并将它们存储在很长的地方是 WordPress 安全性的一个重要因素。 如果您有最近的备份,那么当涉及到您的站点数据时,最坏情况下的安全漏洞会带来不便,而不是灾难。

如今,大多数托管 WordPress 主机都提供自动异地备份。 如果没有,您可以使用像 UpdraftPlus 这样的插件。

8. 使用安全托管

使用实施可靠安全协议(如防火墙和恶意软件扫描)的高质量 WordPress 主机。 虽然您不应该只依赖您的主机,但优质的 WordPress 主机可以在保护您的 WordPress 网站方面大有帮助。

9. 安装 SSL 证书并使用 HTTPS

确保您已安装 SSL 证书并设置您的站点以强制所有流量到安全的 HTTPS 版本。 这可确保在访问者的 Web 浏览器和您网站的服务器之间传递的任何数据都是加密的。

您可以咨询主机的支持团队或文档以了解如何安装 SSL 证书和插件,如真正简单的 SSL 可以帮助您在您的网站上强制使用 HTTPS 流量。

10. 使用 SFTP,不要存储密码

确保在连接到站点的服务器时使用 SFTP,而不是普通的 FTP(未加密)。 此外,尽量避免将 SFTP 密码存储在 FTP 客户端中,除非它们已加密并受密码保护。

11. 禁用 XML-RPC

XML-RPC 帮助某些应用程序(例如 iPhone 应用程序)连接到您的 WordPress 站点。 大多数人永远不会使用这些应用程序进行连接,这意味着 XML-RPC 只是暴力或 DDoS 攻击的不必要的漏洞向量。

出于这个原因,大多数人禁用 XML-RPC,您可以使用 Disable XML-RPC 之类的插件或我们稍后将讨论的通用安全插件之一来完成。

12.禁用文件编辑

默认情况下,WordPress 允许管理员用户直接从 WordPress 仪表板编辑主题和插件文件,如果恶意行为者访问您的仪表板,这是一个巨大的漏洞。

您可以通过在wp-config.php文件中添加一行来禁用它。

13. 监控安全问题

制定定期安全监控策略可以帮助您在问题变得更大之前发现问题。 我们将在本文后面讨论适当的监控实践。

14. 安全密钥 WordPress 文件和文件夹

一些 WordPress 文件和文件夹特别容易受到攻击,因此您需要特别注意保护wp-config.php文件以及wp-adminwp-includes文件夹。

15. 实施适当的文件权限

文件权限控制用户和程序对托管服务器上的文件和文件夹的访问权限。 如果它们配置不正确,它们可以让恶意行为者访问重要文件,例如您的wp-config.php文件或.htaccess文件。

要了解 WordPress 的正确权限,您可以阅读此 WordPress.org 页面。

16.考虑活动记录

活动记录可让您跟踪网站上发生的事情,这可以帮助您在可疑行为成为主要问题之前发现它。

要设置活动日志记录,您可以使用专门的插件,例如 WP Activity Log。 或者,一些通用的 WordPress 安全插件还包括日志记录功能。

17. 添加最新的安全标头

HTTP 安全标头可以通过控制 Web 浏览器与您网站内容的交互方式来帮助保护您的网站。 您通常会在服务器级别配置这些 - KeyCDN 有一篇很棒的文章解释了最重要的安全标头。

18. 保护您的数据库

使用唯一的数据库表前缀和唯一的数据库名称可以使恶意行为者稍微难以将恶意内容注入到您的数据库中,尽管一些专家对其有用性存在争议。 鉴于此更改很容易应用,即使是少量的“默默无闻的安全性”,它仍然是值得的。

19.禁用盗链

让其他站点对您的图像进行热链接可能不会带来直接的安全风险,但它可能会对您的服务器产生负面影响,从而浪费资源,因此禁用热链接是一种很好的安全做法。

20. 提前设置 DDoS 防护

制定处理分布式拒绝服务攻击的计划。 您可以询问您的主机他们有哪些保护措施,或者将您的站点添加到 Cloudflare,以便您可以在需要时快速启用 Cloudflare 的“我受到攻击”模式。

网站被入侵时有哪些风险?

如果您的网站遭到破坏,则存在三种主要风险......

网络访问者面临的风险

如果您存储有关访问者的数据,恶意行为者可能会访问所有这些信息,这可能会导致身份盗窃或财务盗窃问题,具体取决于您存储的数据。

恶意行为者还可能试图诱骗用户下载恶意文件并感染他们的计算机。

网站所有者面临的风险

安全漏洞可能会导致数据丢失、时间浪费和站点不可用等形式的直接问题。 如果您不维护定期备份(希望在您阅读本指南后不会出现这种情况),您甚至可能会丢失整个站点并需要从头开始重建。

违规还可能导致不太明显的问题,例如对访问者失去信任或一般声誉受损。

对其他网站的风险

如果您使用共享主机和/或在同一个主机帐户上托管您的一些其他网站,如果这些网站彼此之间没有紧密隔离,那么一个被入侵的网站可能会迅速传播到其他网站。 通过这种方式,感染一个站点可以像多米诺骨牌一样摧毁其他站点,即使这些站点本来是安全的。

如何判断您的 WordPress 网站是否被黑客入侵

有两种方法可以发现您的网站已被黑客入侵:

  • 反应性迹象——您发现问题是因为您在网站上看到了问题。
  • 主动迹象——您的安全监控协议会在问题出现在您的站点之前向您发出警报。

理想情况下,您希望使用可让您主动解决问题的工具,而不是等待它们成为问题。 这样,您可以最大限度地减少对您网站的损害。

黑客的反应迹象

  • 浏览器警报——如果您访问受感染的页面,大多数浏览器都会显示警告。 如果在您访问自己的网站时发生这种情况,您就知道您遇到了问题。
  • 搜索引擎警报——如果访问者点击了指向受感染网站的链接,谷歌也会提醒他们。 上面写着“这个网站可能被黑了”。
  • 网站管理员服务– 如果您使用 Google Search Console,如果您转到安全和手动操作 → 安全问题,Google 会提醒您安全问题
  • 网络访问者——如果网络访问者遇到恶意内容,他们可能会直接告诉您。
如果网站感染了恶意软件,谷歌浏览器会显示警告

黑客攻击的主动迹象

  • 恶意软件扫描程序- 恶意软件扫描程序可以检测到您服务器上的恶意代码,即使它尚未开始影响您网站的前端。
  • 文件完整性检查——如果核心 WordPress 文件与官方版本不匹配,则表明您的网站可能有问题。 如果核心文件被修改,大多数安全插件会自动提醒您。
  • 流量监控器——监控您的 WordPress 网站的流量将帮助您在发生违规行为时发现它们。
Wordfence 插件提供 WordPress 安全扫描

三个最佳 WordPress 安全插件和工具

如果您希望在 WordPress 安全方面更加安心,您可以考虑使用专用的 WordPress 安全插件或服务。

虽然这些工具并不能完全消除保持警惕的需要,但它们可以为您处理大多数WordPress 安全最佳实践。

以下是三个最好的:

1. Wordfence

Wordfence 是最好的 WordPress 安全插件之一

Wordfence 是 WordPress.org 上最受欢迎的 WordPress 安全插件。 它具有全面的功能集,可以保护和监控站点安全的所有区域:

  • Web 应用程序防火墙 (WAF)在威胁损害您的站点之前主动阻止它们。 包括一组不断更新的定义以阻止新出现的威胁。
  • 恶意软件和安全扫描以检测感染或安全漏洞。
  • 登录安全功能包括限制登录尝试、双重身份验证、泄露密码保护、XML-RPC 禁用/强化等。
  • 实时记录以检测恶意行为者。
  • 通知可立即提醒您网站上的潜在问题。
  • 许多其他较小的强化策略,包括文件更改检测。
  • 中央安全仪表板,可让您从一处管理多个站点的安全性。

WordPress.org 上有免费版本,Wordfence Premium 起价 99 美元。

2. 苏库里

Sucuri 是一个插件和防火墙

Sucuri是两件事:

  1. WordPress.org 上实现基本安全强化实践的免费插件。
  2. 一种付费防火墙服务,位于您的服务器前,可在恶意流量到达您的站点之前阻止它。

为了获得最佳保护,您需要同时使用这两种工具。

免费的 Sucuri 插件实现了以下安全强化功能:

  • 文件完整性监控
  • 审核日志
  • 自动黑名单监控
  • 基本的强化选项,例如禁用文件编辑和阻止某些 PHP 文件
  • 登录监控失败以检测暴力攻击
  • 通过电子邮件自动发出安全警报

要使用防火墙服务,您需要将域的名称服务器更改为 Sucuri,Sucuri 的防火墙将在网络级别保护您的站点。

Sucuri 插件是免费的,但防火墙的起价为每月 10 美元。 您还可以支付完整的网站安全计划,其中包括恶意软件清理和删除。 这些计划起价为每年 200 美元。

3. iThemes 安全性

适用于 WordPress 的 iThemes 安全专业版

iThemes Security 是另一种流行的工具,可以帮助您强化网站并监控它的安全问题。

以下是它可以提供的帮助:

  • 站点扫描程序将自动检测您站点上的已知漏洞。
  • 登录保护包括双重身份验证、限制登录尝试、受信任的设备、强密码要求等。
  • 安全日志包括安全事件日志和用户活动日志。
  • 文件更改检测以查看核心文件是否已被修改。
  • 电子邮件通知可立即提醒您潜在的安全问题。
  • 常规 WordPress 加固包括禁用 XML-RPC、禁用文件编辑、文件权限检查等。

iThemes Security提供的一项功能是防火墙——如果您需要防火墙,开发人员建议将其与 Sucuri 的防火墙服务配对。

虽然 WordPress.org 上有 iThemes Security 的有限免费版本,但您需要 iThemes Security Pro 以获得最佳保护。 它的起价为 80 美元。

关注这三件事以获得最大的 WordPress 安全投资回报率

就像生活中的很多事情一样,WordPress 安全遵循 80/20 Pareto 原则。 也就是说,专注于制定一些基本的 WordPress 安全策略将使您获得安全网站的大部分途径。

因此,虽然我们当然认为遵循我们在上面分享的 WordPress 安全检查表很重要,但只关注三个方面将保护您免受 WordPress 安全性的大多数问题的影响。

让我们来看看它们……

1. 插件

虽然 WordPress 核心软件是安全的(只要您保持更新),但插件会引入核心团队无法控制的变量,这使得它们成为恶意行为者的最大攻击媒介之一。

但是,插件也是 WordPress 的重要组成部分,因此不使用它们不是一个现实的选择。

以下三种方法可以继续从插件中受益,同时大大降低您的风险:

  • 避免废弃的插件——如果不再维护一个插件,这意味着没有人可以修复新发现的问题并使其与新版本的 WordPress 兼容。
  • 只从信誉良好的开发人员那里购买– 使用像 HeroThemes 这样遵循 WordPress 安全最佳实践并随时掌握新兴威胁的值得信赖的开发人员。
  • 定期更新——即使是来自最好的开发人员的最好的插件有时也会有新发现的漏洞。 只要您及时更新,质量开发人员将在这些漏洞成为问题之前对其进行修补。

2.蛮力攻击

蛮力攻击是一种常见的攻击媒介,它依赖于通过登录页面进入您的网站。 您网站的其余部分有多安全并不重要——如果恶意行为者能够猜出您的用户名和密码,他们就拥有前门的钥匙。

以下是如何保护自己:

  • 使用强而独特的密码——为您的所有帐户选择一个强密码,不要在多个地方重复使用相同的密码。
  • 限制登录尝试- 通过限制失败的登录尝试和/或添加验证码来阻止人们暴力破解您的登录页面。
  • 考虑双重身份验证——为了更加安全,您可以考虑通过 SMS 或理想情况下智能手机应用程序或硬件密钥使用双重身份验证。
  • 唯一的用户名——不要使用“admin”作为您的用户名,并尝试让您的用户名难以猜测。
在 WordPress 上限制登录尝试的示例

3. 托管账户

您的 WordPress 网站可能被完全锁定; 但是,如果恶意行为者可以访问您的托管帐户,他们几乎可以对您的网站做任何他们想做的事情。

要阻止这种情况,还必须锁定您的托管帐户和服务器:

  • 使用强密码- 与您的 WordPress 帐户一样,为您的主机和 SFTP 帐户使用强而独特的密码。
  • 启用双重身份验证——大多数托管服务提供商都支持双重身份验证——利用它。
  • 使用 SFTP – 始终通过 SFTP 而不是未加密的 FTP 连接。
  • 不要存储 SFTP 密码——不要在您的 FTP 客户端中存储未加密的 SFTP 密码。

监控、识别和修复 WordPress 安全漏洞

如果您实施了上述所有 WordPress 安全策略,则希望您永远不必处理安全漏洞。

但是,某些东西总是有可能从裂缝中溜走,这就是为什么制定计划来检测和修复安全问题很重要的原因。

监控漏洞

  • 扫描您的网站- 使用 Sucuri SiteCheck 等工具捕获黑名单问题并使用安全插件扫描您的服务器。
  • Google Search Console – 注意安全问题部分的警告。
  • 在搜索中使用 Google 站点命令- 搜索 site:yoursite.com 以查看 Google 是否已将看似恶意的内容编入索引。 这可能是您没有创建的内容或带有奇怪标题/元描述的内容。
  • 活动日志- 浏览您网站的活动日志以捕获可疑活动。
  • 检查分析——在您的流量分析中寻找无法解释的低谷或高峰。
  • .htaccess 文件——注意对 .htaccess 文件的更改,因为许多参与者会在此处放置恶意重定向或设置用户代理规则以向人类访问者隐藏他们的 SEO 垃圾邮件。
Sucuri SiteCheck 中的黑名单检查示例

识别问题

一旦您的监控工作检测到出现问题,就该确定您网站上的具体问题,以便您可以修复它并让您的网站正常运行。 为此,您可以使用安全插件来扫描您的站点并识别恶意文件和后门程序。

修复您的网站

一旦您确定了具体问题,就该修复您的网站了。

根据感染的严重程度和您的知识水平,您可以在这里采取几种不同的途径:

  • 使用安全插件——许多安全插件通过清理文件或将您的站点回滚到干净版本来提供一键修复。
  • 聘请专家——如果您感到不知所措,您可以支付专家服务费用,例如 Sucuri 的网站安全或 Wordfence 网站清洁服务。
  • 执行手动清理——如果你有技术知识,你可以手动清理你的站点——MalCare 有关于如何执行手动清理的详细指南。

如果您的网站已被 Google 列入黑名单,您还需要在清理网站后请求审核。 您可以从 Google Search Console 的安全问题部分执行此操作。

保持您的 WordPress 网站安全

WordPress安全的,但人们使用 WordPress 的方式并不总是安全的。

现在花一点时间来为 WordPress 安全创建一个积极的计划将以安全站点的形式获得红利,并避免将来需要处理违规行为。

您可以实施这篇文章中的提示并遵循 WordPress 安全清单,例如 Wordfence 的清单。 如果您需要帮助,您还可以从开发人员那里获得帮助或聘请 WordPress 维护服务。

WordPress 安全性也不是您一个人在做的事情。您的网站上有整个 WordPress 社区,可以帮助您创建更安全的网站。

在 HeroThemes,我们专注于创建安全、可靠的插件和主题,让您在扩展您的 WordPress 网站的同时保持其安全。 有很多其他开发人员也在做同样的事情。

如果您坚持使用此类扩展并遵循其他安全最佳实践,您可以享受安全 WordPress 网站的好处。