如何对WordPress进行安全检查及安全审计

确保你的WordPress网站的安全并不是一劳永逸的事情。不管你有多信任你的安全插件,或者你对网站的加固有多彻…

IMG_0

确保你的WordPress网站的安全并不是一劳永逸的事情。不管你有多信任你的安全插件,或者你对网站的加固有多彻底,今天的网站安全并不代表明天的网站安全。为了防止黑客入侵,你必须定期进行WordPress安全检查及审计,填补你发现的安全漏洞。

网站黑客的策略总是在不断进步,随之而来的是保持你的网站安全的预防措施。把它看成是一个循环。一个网站越安全,黑客就越要有创造性地进入它,这意味着你的网站必须变得更加安全,以此类推。之前搬主题介绍过安全的文章【WordPress网站中毒或被黑客挂马清理修复全指南】。

争取至少每三个月进行一次WordPress安全审计。每个月更好,每周(甚至每天,取决于你的网站有多敏感)是最好的。当然,如果你觉得你的网站有什么问题,那就立即进行一次安全审计。以下任何一种情况都应该引起注意。

  • 你的网站突然变得缓慢和迟钝。
  • 网站流量无缘无故地大幅下降。
  • 有新的账户、登录尝试或 “忘记密码 “请求。
  • 你没有添加的新链接出现在你的网站上。

以下步骤是保持你的网站在安全方面处于最佳状态的必做之事。有了一份检查表,你将使你的审计工作精简,而不是压倒性的。

一、关于WordPress安全审计的概述

在某一点上,几乎每个WordPress网站都会遇到某种类型的安全问题。一个常见的问题是,一个插件或主题出现了漏洞,让黑客直接进入你的网站。一旦你的网站被黑,任何数量的事情都可能发生。

  • 客户的个人数据被盗
  • 显示非法的广告和内容
  • 流量被转移到其他地方
  • WordPress数据被加密、删除或出售

这不仅仅是一个令人头痛的问题,也不仅仅是一个瘫痪了几个小时的网站。黑客可以用你的数据来勒索赎金。你的网站的信息可以在暗网上出售。谷歌可以将你的网站列入黑名单,因为它在网页上显示垃圾邮件。如果客户的信用卡信息被盗,他们可以起诉你。一旦黑客获得了你的网站的访问权,其他网站也会被感染。

WordPress的安全审计可以识别这些漏洞,这样你就可以在黑客找到他们的方法之前,立即修补它们。你将确保你目前采取的安全步骤仍然有效,你也将找出你需要更多保护的地方。

二、评估你所使用的安全插件

你的WordPress安全插件是保护你网站的最重要工具之一。确保你的安全插件仍然在以下方面发挥作用。

  • 活动日志。这可以跟踪你网站的用户,包括谁在什么时候登录,登录失败,以及网站的变化。
  • 防火墙。这将阻止机器人、黑客和试图进入你的网站的IP地址。
  • 登录尝试。高质量的安全插件将强制执行强大的密码,要求双因素认证并限制登录尝试。
  • 登录保护。这可以阻止暴力攻击,也就是黑客尝试不同的用户名和密码组合来登录。
  • 恶意软件扫描和清理。这应该每天运行,深入扫描你的网站的数据库、文件和文件夹中的恶意软件,并擦除它发现的任何东西。
  • 实时警报。如果你的网站有任何可疑的情况,该插件应立即通知你。

还没有一个安全插件吗?考虑买一个,作为你的WordPress安全审计的第一步。可以参考这里【终极WordPress安全防护指南-2021 年网站安全强化的详细操作教程】

三、测试你的网站备份解决方案

如果你的网站出了什么问题,不可能或太复杂而无法修复,有一个WordPress备份意味着你可以把你的网站恢复到问题发生前的状态。然而,如果你的备份失败了,那么你就没有什么可以恢复的了,这意味着你可能被困在一个被感染或故障的网站里。理想情况下,你将使用一个备份解决方案(无论是由你的主机提供的还是你使用的插件),允许你测试你的备份,如BlogVault。你也可能想阅读我们的文章,其中有6个最好的WordPress备份插件。

四、仔细检查你的WordPress管理和FTP设置

有了WordPress,你可以让多个人登录到各种项目上工作,但这并不意味着每一个有登录资格的人都应该完全访问你的网站。而当涉及到你的FTP客户端时,允许多人访问意味着他们可以对你的网站的……嗯,一切进行修改。

当你在WordPress中添加一个新用户时,你会给他们分配一个角色(你也可以编辑他们的资料来改变他们的角色)。

IMG_0

不同的角色有不同的能力。例如,管理员可以访问网站的所有管理工具(如改变主题或安装插件),但贡献者只能编写和管理自己的文章。这里有一个关于不同角色及其能力的全面细分。

对于你的WordPress安全审计,请做以下工作。

  • 看看哪些WordPress用户有管理级别的权限。
  • 决定是否所有这些用户都需要这个级别的访问权限(以及其他拥有有限访问权限的用户是否应该成为管理员)。
  • 通过更新这些人的用户角色来降低权限和限制访问。
  • 如果你不认识仪表板上的用户,请删除它们–它们可能是由黑客创建的账户。
  • 是否有任何用户名只是 “admin”?这是一个太常见的用户名,也是一个黑客经常试图用来访问你的网站的用户名。为这个人创建一个新的用户账户,并删除旧的账户。
  • 删除那些不需要那么高权限的用户的FTP账户。

最后,如果你的网站允许会员,你要确保他们在注册时必须实际创建一个账户,而且他们的默认角色不允许管理员访问。进入设置>常规。取消勾选 “任何人都可以注册 “旁边的方框。然后,选择新用户默认角色下的适当选项。

IMG_0

五、确保WordPress是最新的

你可能会让它自动运行,但还是要仔细检查WordPress是否已经更新到最新的版本。更新不只是修补安全漏洞–它们还改善性能和增加功能。进入仪表板>更新,看看是否已经准备好了。

IMG_0

六、清理你的插件和主题

插件可以扩展你网站的功能,但它们也很容易受到攻击,特别是如果它们太久没有更新的话。可靠的开发者会一直关注他们的插件的漏洞,并发布带有补丁的更新。在你的WordPress安全更新期间,前往你的插件列表,做以下工作。

  • 停用和卸载任何你不再使用的或你不认识的插件。
  • 更新其余任何准备好更新的插件。
  • 如果你使用的插件一直没有收到开发商的更新,考虑使用另一个具有相同功能的插件–一个过时的插件太容易出现安全问题了。

即使你每个月做一次WordPress的安全审计,更经常地检查你的插件以根据需要更新它们也是一个好主意。另外,删除任何你目前不使用的或预计不需要的主题。就像插件一样,主题也会带来安全漏洞的风险,所以最好是让你的网站尽可能不存在杂乱的主题。

七、最后总结

你不会停止在你业务的其他部分工作 – 想出新的产品或服务,营销它们,销售,等等。你的网站安全也不应该有什么不同。如果你不及时发现,一个小问题可以迅速导致一个威胁业务的黑客,但如果不知道问题所在,你就不知道该实施哪些修复措施。

保持你的网站安全是一个持续的过程,有一个可用的WordPress安全审计清单,可以省去你试图记住每个月做什么的麻烦。另外,你能用安全插件自动处理的事情越多越好。如果你要做的大部分事情是反复检查插件是否仍在正常运行,那么你的WordPress安全审计清单就会小得多。我们对两个领先的安全插件Sucuri和Wordfence进行了深入的概述和评论。

类别:WordPress 进阶教程

本文收集自互联网,转载请注明来源。
如有侵权,请联系 wper_net@163.com 删除。

评论 (0)COMMENT

登录 账号发表你的看法,还没有账号?立即免费 注册