WordPress 是网络上大约四分之一网站的基础。因此,它是黑客和其他犯罪分子的一个诱人目标。如果他们能在 WordPress 中找到一个漏洞,他们就拥有了数百万个站点的密钥。流行的 WordPress 插件中的漏洞几乎是诱人的,即使是不太流行的漏洞也可能让攻击者访问数以千计的站点。
这是 Graeme Caldwell 的客座贡献。
对于 WordPress 来说尤其如此。 WordPress 是最大的野兽 - 其他内容管理系统也有同样的麻烦。保护 WordPress 是开发人员和安全研究人员的工作,但他们能做的也有限。 WordPress 网站所有者也需要努力。
确保您的 WordPress 网站安全的一部分是了解风险以及如何保护您的网站免受常见漏洞的侵害。
最近,WordPress 安全公司 Wordfence 发布了一份 WordPress 网站可能遭到破坏的最常见方式列表。让我们来看看这个列表,以及 WordPress 网站所有者可以采取哪些措施来确保他们不会成为受害者:
4 个最常见的 WordPress 攻击插件漏洞
到目前为止,最大的罪魁祸首是插件中的错误。成千上万的开发人员创建了成千上万的插件,因此插件是最大的风险是有道理的。
保护您的站点免受插件漏洞影响的一种方法是安装尽可能少的插件。插件生态系统是人们首先选择 WordPress 的主要原因,因此我不建议完全避免使用插件。但是,如果您不使用该插件,请将其删除。考虑您是否需要插件提供的功能。保持较低的插件数量可以减少威胁的表面积。
接下来,确保您使用的插件保持最新。漏洞总是被发现并修复。更新提供修复。过时的插件是妥协的邀请。
如果一个插件有一段时间没有更新,它可能已经被开发者废弃了。如果您怀疑某个插件没有被积极开发,请寻找替代品。
蛮力
蛮力攻击只是猜测。攻击者(通常是机器人)会尝试尽可能多的用户名和密码组合,直到找到正确的组合。这里的解决方法很简单——不要使用容易猜到的密码和用户名。长而复杂的密码是不可能猜到的。像“pa55word”和“ilovejustin”这样的密码会在几分之一秒内被猜出。
除了使用安全密码外,您还应该考虑在您的 WordPress 网站上安装双因素身份验证,并在登录失败次数过多后使用限速工具来阻止 IP。
核心和主题漏洞
我将这两个捆绑在一起,因为两者的缓解措施相同。保持您的网站更新!
WordPress Core 通常比插件生态系统安全得多,绝大多数成功的攻击都依赖于已在最新版本中修复的漏洞。
再次强调,让您的 WordPress 网站保持最新状态!
托管漏洞
有时,网络托管公司会犯错误,或者他们所依赖的软件(例如 Linux 操作系统)存在漏洞。避免不称职的虚拟主机的最佳方法是选择具有良好安全声誉和专业知识的虚拟主机来保护他们的客户。
让 WordPress 安全并不需要很多工作。 WordPress 的开发人员已经奠定了坚实的基础,只需花费一点时间和精力,WordPress 用户就可以保护他们的网站和博客免受犯罪分子的侵害。
编者注。如果您想更进一步并真正确保您的博客安全,请查看我们在 CodeinWP 博客上的深入文章:2021 年保护您的 WordPress 网站的 20 个简单技巧。
关于作者: Graeme Caldwell 是 Nexcess.net 的入站营销人员,Nexcess.net 是 Magento 和 WordPress 托管的领先提供商。在 Twitter @nexcess 上关注 Nexcess,在 Facebook 上关注他们的 nexcess,并查看他们的技术/托管博客 blog.nexcess.net。
