2022年5月17日,搜狐新闻报道,Sucuri的网络安全研究人员发现了一场大规模的活动,该活动通过在WordPress网站注入恶意JavaScript代码将访问者重定向到诈骗内容,从而导致数千个WordPress网站遭破坏。
数千个WordPress网站被大规模黑客活动破坏_保障_Sucuri_jquerywww.sohu.com/a/547854285_120653788
WordPress 安全对于每个网站所有者来说都是一个非常重要的话题谷歌每天将大约 10,000 多个网站列入恶意软件黑名单,每周将大约 50,000 个网站列入网络钓鱼黑名单如果你认真对待你的网站,那么你需要注意 WordPress 安全最佳实践。
在本指南中,我们将分享所有重要的 WordPress 安全提示,以帮助你保护你的网站免受黑客和恶意软件的侵害
虽然 WordPress 核心软件非常安全,并且有数百名开发人员定期对其进行审核,但仍有许多工作可以确保你的网站安全我们相信安全不仅仅是消除风险这也与降低风险有关作为网站所有者,你可以做很多事情来提高你的 WordPress 安全性(即使你不精通技术)。
我们有许多可操作的步骤,你可以采取这些步骤来保护你的网站免受安全漏洞的影响为什么网站安全很重要?WordPress 网站被黑hack将对业务收入和声誉造成严重损害黑客可以窃取用户信息、密码、安装恶意软件,甚至可以将恶意软件分发给你的用户。
最糟糕的是,你可能会发现自己向黑客支付勒索软件只是为了重新访问你的网站。
2016 年 3 月,谷歌报告称,超过 5000 万网站用户已被警告他们正在访问的网站可能包含恶意软件或窃取信息此外,谷歌安全中心每周都会将大约 20,000 个恶意软件网站和大约 50,000 个网络钓鱼网站列入黑名单。
如果你的网站是一家企业,那么你需要特别注意你的 WordPress 安全性类似于企业主有责任保护他们的实体店建筑,作为在线企业主,你有责任保护你的企业网站如何才能保证wordpress站点的安全性?1、保持 WordPress 更新
WordPress 是一个定期维护和更新的开源软件默认情况下,WordPress 会自动安装次要更新对于主要版本,你需要手动启动更新WordPress 还附带了数以千计的插件和主题,你可以将它们安装在你的网站上。
这些插件和主题由定期发布更新的第三方开发人员维护这些 WordPress 更新对于你的 WordPress 网站的安全性和稳定性至关重要你需要确保你的 WordPress 核心、插件和主题是最新的2、强密码和用户权限
最常见的 WordPress 黑客攻击尝试使用被盗密码你可以通过使用你网站独有的更强密码来解决这个问题不仅适用于 WordPress 管理区域,还适用于 FTP 帐户、数据库、WordPress 托管帐户。
以及使用你网站域名的自定义电子邮件地址降低风险的另一种方法是不要让任何人访问你的 WordPress 管理员帐户如果你有一个大型团队或来宾作者,请确保你了解WordPress 中的用户角色和功能,然后再将新用户帐户和作者添加到你的 WordPress 站点。
3、利用服务器提供商的安全服务你的WordPress 托管服务在你的 WordPress 网站的安全性中扮演着最重要的角色像腾讯云、阿里云、Bluehost或Siteground这样的云服务提供商都会有相应的安全服务保护他们的服务器免受常见威胁。
以下是一家优秀的网络托管公司如何在后台工作以保护你的网站和数据他们持续监控其网络中的可疑活动所有优秀的托管公司都有防止大规模 DDOS 攻击的工具他们使服务器软件、php 版本和硬件保持最新,以防止黑客利用旧版本中的已知安全漏洞。
他们已准备好部署灾难恢复和事故计划,以便在发生重大事故时保护你的数据在共享主机中,你与许多其他客户共享服务器资源这会带来跨站点污染的风险,黑客可以利用相邻站点攻击你的网站使用安全服务可为你的网站提供更安全的平台。
部分主机供应商提供自动备份、自动 WordPress 更新和更高级的安全配置来保护你的网站4、无需编码通过简单的步骤增强wordpress的安全性我们知道提高 WordPress 的安全性对于初学者来说可能是一个相当困难的事情,因为这样会增加新手小白的成本。
特别是那些对编程一点也不会,安全程序代码一点不会的人我们将向你展示如何通过单击几下(无需编码)来提高你的 WordPress 安全性1)安装 WordPress backup 插件
备份是你抵御任何 WordPress 攻击的第一道防线请记住,没有什么是 100% 安全的如果政府网站可以被黑客入侵,那么你的网站也可以备份允许你快速恢复你的 WordPress 网站,以防万一发生不好的事情。
你可以使用许多免费和付费的WordPress 备份插件关于备份,你需要知道的最重要的事情是你必须定期将全站点备份保存到远程位置(而不是你的主机帐户)我们建议将其存储在 Amazon、Dropbox 等云服务或 Stash 等私有云上。
根据你更新网站的频率,理想的设置可能是每天一次或实时备份值得庆幸的是,这可以通过使用UpdraftPlus或BlogVault等插件轻松完成它们既可靠又最重要的是易于使用(无需编码)2)最佳 WordPress 安全插件。
备份后,我们需要做的下一件事是设置一个审核和监控系统,以跟踪你网站上发生的所有事情这包括文件完整性监控、登录尝试失败、恶意软件扫描等值得庆幸的是,这一切都可以通过最好的免费 WordPress 安全插件Sucuri Scanner 来解决。
你需要安装并激活免费的 Sucuri Security 插件激活后,你需要转到 WordPress 管理员中的 Sucuri 菜单你将被要求做的第一件事是生成免费的 API 密钥这将启用审计日志记录、完整性检查、电子邮件警报和其他重要功能。
接下来,你需要做的是从设置菜单中单击“强化”选项卡。浏览每个选项,然后单击“应用强化”按钮。
这些选项可帮助你锁定黑客在攻击中经常使用的关键区域唯一付费升级的强化选项是 Web 应用程序防火墙,我们将在下一步中解释它,所以现在跳过它我们还在本文后面为那些想要在不使用插件或需要额外步骤(例如“数据库前缀更改”或“更改管理员用户名”)的情况下执行此操作的人介绍了许多这些“强化”选项。
在加固部分之后,默认插件设置对于大多数网站来说已经足够好了,不需要任何更改我们唯一建议自定义的是“电子邮件警报”默认警报设置可能会使你的收件箱中充满电子邮件我们建议接收有关插件更改、新用户注册等关键操作的警报。
你可以通过转到 Sucuri 设置»警报来配置警报
这个 WordPress 安全插件非常强大,因此请浏览所有选项卡和设置以查看它所做的一切,例如恶意软件扫描、审核日志、登录尝试失败跟踪等3)启用 Web 应用程序防火墙 (WAF)保护你的网站并对你的 WordPress 安全性充满信心的最简单方法是使用 Web 应用程序防火墙 (WAF)。
网站防火墙在所有恶意流量到达你的网站之前就阻止了它DNS 级网站防火墙– 这些防火墙通过其云代理服务器路由你的网站流量这允许他们只向你的网络服务器发送真正的流量应用程序级防火墙——这些防火墙插件在流量到达你的服务器但在加载大多数 WordPress 脚本之前检查流量。
这种方法在减少服务器负载方面不如 DNS 级防火墙有效
我们使用并推荐 Sucuri作为 WordPress 的最佳 Web 应用程序防火墙。你可以了解Sucuri 如何帮助我们在一个月内阻止 450,000 次 WordPress 攻击。
Sucuri 防火墙最好的部分是它还带有恶意软件清理和黑名单删除保证基本上,如果你在他们的监视下被黑客入侵,他们保证他们会修复你的网站(无论你拥有多少页面)这是一个非常强大的保证,因为修复被黑网站的成本很高。
安全专家通常每小时收费 250 美元而你可以以每年 199 美元的价格获得整个 Sucuri 安全堆栈Sucuri并不是唯一的 DNS 级别防火墙提供商另一个受欢迎的竞争对手是 Cloudflare,cloudflare同时提供有免费的CDN服务和ddos攻击保护服务。
4)将你的 WordPress 网站加入SSL/HTTPS协议SSL(安全套接字层)是一种加密你的网站和用户浏览器之间的数据传输的协议。这种加密使某人更难嗅探和窃取信息。
启用 SSL 后,你的网站将使用 HTTPS 而不是 HTTP,你还将在浏览器中的网站地址旁边看到一个挂锁标志SSL 证书通常由证书颁发机构颁发,其价格从每年 80 美元到数百美元不等由于成本增加,大多数网站所有者选择继续使用不安全的协议。
为了解决这个问题,一个名为 Lets Encrypt 的非营利组织决定向网站所有者提供免费的 SSL 证书他们的项目得到了 Google Chrome、Facebook、Mozilla 和更多公司的支持。
5)更改默认的“admin”用户名在过去,默认的 WordPress 管理员用户名是“admin”由于用户名占登录凭据的一半,这使得黑客更容易进行暴力攻击值得庆幸的是,WordPress 已经改变了这一点,现在要求你在安装 WordPress时选择自定义用户名。
但是,一些一键式 WordPress 安装程序仍将默认管理员用户名设置为“admin”如果你注意到这种情况,那么切换你的虚拟主机可能是个好主意由于 WordPress 默认不允许你更改用户名,因此你可以使用三种方法来更改用户名。
创建一个新的管理员用户名并删除旧的使用用户名更改插件从 phpMyAdmin 更新用户名注意:我们谈论的是名为“admin”的用户名,而不是管理员角色6)禁用文件编辑WordPress 带有一个内置的代码编辑器,允许你直接从 WordPress 管理区域编辑你的主题和插件文件。
在黑客手中,此功能可能会带来安全风险,这就是我们建议将其关闭的原因
你可以通过在wp-config.php文件中添加代码轻松地做到这一点或者,你可以使用我们上面提到的免费 Sucuri 插件中的强化功能一键完成此操作6)在某些 WordPress 目录中禁用 PHP 文件执行。
加强 WordPress 安全性的另一种方法是在不需要的目录中禁用 PHP 文件执行,例如 /wp-content/uploads/你可以通过打开像记事本这样的文本编辑器并粘贴以下代码来执行此操作: deny from all
接下来,你需要将此文件保存为.htaccess并使用FTP 客户端将其上传到你网站上的 /wp-content/uploads/ 文件夹或者,你可以使用我们上面提到的免费 Sucuri 插件中的强化功能一键完成此操作。
7)限制登录尝试默认情况下,WordPress 允许用户尝试多次登录这会使你的 WordPress 网站容易受到暴力攻击黑客试图通过尝试使用不同的组合登录来破解密码这可以通过限制用户可以进行的失败登录尝试来轻松解决。
如果你使用的是前面提到的 Web 应用程序防火墙,那么它会自动得到处理但是,如果你没有设置防火墙,请继续执行以下步骤首先,你需要安装并激活Login LockDown插件激活后,访问设置»登录锁定页面以设置插件。
8)添加两因素身份验证双因素身份验证技术要求用户使用两步身份验证方法登录第一个是用户名和密码,第二步需要你使用单独的设备或应用程序进行身份验证大多数顶级在线网站,如 Google、Facebook、Twitter,都允许你为你的帐户启用它。
你还可以将相同的功能添加到你的 WordPress 网站首先,你需要安装并激活两因素身份验证插件激活后,你需要单击 WordPress 管理侧栏中的“双因素身份验证”链接接下来,你需要在手机上安装并打开身份验证器应用程序。
其中有几种可用,例如 Google Authenticator、Authy 和 LastPass Authenticator我们建议使用LastPass Authenticator或Authy,因为它们都允许你将帐户备份到云中。
这在你的手机丢失、重置或购买新手机时非常有用你的所有帐户登录都将轻松恢复我们将在本教程中使用 LastPass Authenticator但是,所有身份验证应用程序的说明都相似打开你的身份验证器应用程序,然后单击“添加”按钮。
系统将询问你是要手动扫描站点还是扫描条形码选择扫描条形码选项,然后将手机的摄像头对准插件设置页面上显示的二维码就是这样,你的身份验证应用程序现在将保存它下次你登录你的网站时,你将在输入密码后被要求提供两步验证码。
只需在手机上打开身份验证器应用程序并输入你在其上看到的代码9)更改 WordPress 数据库前缀默认情况下,WordPress 使用 wp_ 作为WordPress 数据库中所有表的前缀如果你的 WordPress 站点使用默认的数据库前缀,那么黑客就更容易猜测你的表名是什么。
这就是为什么我们建议更改它你可以按照我们关于如何更改 WordPress 数据库前缀以提高安全性的分步教程来更改你的数据库前缀注意:如果没有正确完成,这可能会破坏你的网站只有在你对自己的编码技能感到满意的情况下才能继续。
10)密码保护 WordPress 管理员和登录页面
通常,黑客可以不受任何限制地请求你的 wp-admin 文件夹和登录页面这使他们可以尝试他们的黑客技巧或运行 DDoS 攻击你可以在服务器端级别添加额外的密码保护,这将有效地阻止这些请求11)禁用目录索引和浏览。
黑客可以使用目录浏览来找出你是否有任何具有已知漏洞的文件,因此他们可以利用这些文件来获得访问权限其他人也可以使用目录浏览来查看你的文件、复制图像、找出你的目录结构和其他信息这就是为什么强烈建议你关闭目录索引和浏览。
你需要使用 FTP 或 cPanel 的文件管理器连接到你的网站接下来,在你网站的根目录中找到 .htaccess 文件2之后,你需要在 .htaccess 文件的末尾添加以下行:Options -Indexes。
不要忘记将 .htaccess 文件保存并上传回你的站点12)在 WordPress 中禁用 XML-RPCXML-RPC 在 WordPress 3.5 中默认启用,因为它有助于将你的 WordPress 站点与 Web 和移动应用程序连接起来。
由于其强大的特性,XML-RPC 可以显着放大暴力攻击例如,传统上,如果黑客想在你的网站上尝试 500 个不同的密码,他们将不得不进行 500 次单独的登录尝试,这些尝试将被登录锁定插件捕获并阻止但是使用 XML-RPC,黑客可以使用
system.multicall函数尝试数千个密码,例如 20 或 50 个请求这就是为什么如果你不使用 XML-RPC,那么我们建议你禁用它在 WordPress 中禁用 XML-RPC 有 3 种方法,我们在关于如何在 WordPress 中禁用 XML-RPC。
的分步教程中介绍了所有这些方法提示: .htaccess 方法是最好的方法,因为它占用的资源最少如果你使用的是前面提到的 Web 应用程序防火墙,那么这可以由防火墙来处理13)自动注销 WordPress 中的空闲用户。
登录的用户有时会离开屏幕,这会带来安全风险有人可以劫持他们的会话、更改密码或更改他们的帐户这就是为什么许多银行和金融网站会自动注销非活动用户的原因你也可以在你的 WordPress 网站上实现类似的功能。
你将需要安装并激活Inactive Logout插件。激活后,访问设置»非活动注销页面以配置插件设置。
只需设置持续时间并添加注销消息。不要忘记单击保存更改按钮来存储你的设置。14)向 WordPress 登录屏幕添加安全问题
在你的 WordPress 登录屏幕中添加安全问题会使某人更难获得未经授权的访问你可以通过安装WP 安全问题插件来添加安全问题激活后,你需要访问设置»安全问题页面来配置插件设置15)扫描 WordPress 中的恶意软件和漏洞。
如果你安装了 WordPress 安全插件,那么这些插件将定期检查恶意软件和安全漏洞的迹象但是,如果你发现网站流量或搜索排名突然下降,那么你可能需要手动运行扫描你可以使用 WordPress 安全插件,或使用其中一种恶意软件和安全扫描程序。
运行这些在线扫描非常简单,你只需输入你的网站 URL,它们的爬虫就会通过你的网站查找已知的恶意软件和恶意代码现在请记住,大多数 WordPress 安全扫描程序只能扫描你的网站他们无法删除恶意软件或清理被黑的 WordPress 网站。
这将我们带到下一部分,清理恶意软件和被黑的 WordPress 网站16)修复被黑的 WordPress 网站许多 WordPress 用户直到他们的网站被黑客入侵后才意识到备份和网站安全的重要性清理 WordPress 网站可能非常困难且耗时。
我们的第一个建议是让专业人士来处理它黑客在被黑的网站上安装后门,如果这些后门没有得到妥善修复,那么你的网站很可能会再次被黑客入侵允许像Sucuri这样的专业安全公司修复你的网站将确保你的网站可以安全再次使用。
它还将保护你免受未来的任何攻击额外提示:身份盗用和网络保护作为小企业主,保护我们的数字和财务身份至关重要,因为不这样做可能会导致重大损失黑客和犯罪分子可以使用你的身份盗取你的网站域名、入侵你的银行账户,甚至实施你可能要承担的罪行。
2020 年,美国联邦贸易委员会 (FTC) 报告了 470 万起身份盗用和信用卡欺诈事件这就是为什么我们建议使用像Aura这样的身份盗窃保护服务(我们自己使用 Aura)他们通过免费 VPN(虚拟专用网络)提供设备和 wifi 网络保护,无论你身在何处,都可以通过军用级加密保护你的互联网连接。
当你旅行或从星巴克等公共场所连接到你的 WordPress 管理员时,这非常有用,因此你可以安全且私密地在线工作他们的暗网监控服务使用人工智能持续监控暗网,并在你的密码、社会保险号和银行账户被盗时提醒你。
这使你可以更快地采取行动,更好地保护你的数字身份。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。