万博易:WordPress安全吗?

WordPress是目前使用最引人注目的开源CMS之一。由于60%的CMS网站使用Wordpress,并且互联网上31%的网站都使用它,因此可以肯定地说它是安全漏洞的常见目标。

WordPress是否安全的主题多年来一直是信息安全讨论的核心。每年有成千上万的WordPress网站被黑客攻击,问题仍然存在:“WordPress真的很安全吗?”

关于WordPress安全性的永恒讨论

WordPress网站常常出现以下容易被预防的原因:使用“admin”作为您的登录凭据或密码较弱。将这些类型的事件分解为黑客统计数据使得WordPress安全性的简单问题难以回答。

在谈论WordPress安全性时,首先要注意的是它可能已经超出其核心的任何安全漏洞。因此,我们需要明确指出WordPress由三个不同的部分组成:

  • 核心
  • 插件
  • 主题

通过5dseo.com最新统计数据,我们可以看到每个组件的WordPress漏洞:

一般漏洞统计

查看我们的5大最佳WordPress漏洞扫描程序列表,了解WPScan的最佳替代方案。

WordPress最常见的5个安全问题

在了解WordPress的安全与否之前,以及探索可以帮助您的网站尽可能安全的方法之前,让我们快速浏览网站所有者使用WordPress时遇到的最常见的安全问题:

1.暴力破解wordpress/wp-admin/后台登录密码

暴力攻击是一种反复试验的方法,主要用于获取密码和PIN(个人识别号码)等信息。网络犯罪分子通过键入多个密码或用户名来实现此目的,直到他们获得正确的组合。它可以是字典攻击,攻击者可以尝试键入字典中的每个单词,也可以尝试使用最常用的密码进行攻击。此攻击利用了为您的网站使用不安全密码的常见错误,实际上让攻击者可以访问您的数据。

2. SQL注入

由于WordPress网站使用MySQL数据库,因此经常发生此类攻击。当利用安全漏洞并且攻击者能够访问您的数据,更改数据甚至销毁数据时,就会发生SQL注入。

3.恶意软件

恶意软件用于通过在过期主题或插件中插入代码来访问您的数据。然后,攻击者可以提取您的数据,甚至可以将恶意内容插入您的网站。

4.跨站点脚本

也称为XSS攻击,这种威胁经常出现在WordPress插件中。攻击者会插入一个不安全的JavaScript代码,然后从受害者那里收集数据。它甚至可以将受害者重定向到其他恶意网站。

5. DDoS攻击

分布式拒绝服务攻击是通过恶意溢出带有流量的网站而发生的,导致无法将其内容提供给合法网站访问者。它是由攻击者使用恶意软件攻击的几台计算机执行的,因此很难找到并解决。

谁让WordPress安全?

您可能想知道,窗帘背后的人是谁,日夜工作以保持WordPress – 以及使用它的数百万个网站 – 安全吗?由于WordPress由我们提到的三个组件组成,因此有几个负责保护其安全的团队:

核心

WordPress核心由一群开发人员和研究人员维护,他们在被接受为WordPress安全团队的一部分之前经历了长期的招聘流程。

同样重要的是要知道,即使WordPress安全团队由50名高素质人员组成,同样重要的是在维护WordPress整体安全方面发挥重要作用的个人开发人员,安全研究人员和贡献者。

他们努力工作以保证WordPress的安全,实施最佳安全措施,开发新技术以最大限度地减少潜在的安全威胁,识别错误并发布补丁。

主题和插件

WordPress安全团队不对主题和插件负责。有一个志愿者团队负责检查新的插件和主题,但他们并不能保证完全安全,因为很多人都经常被释放。漏洞可能会被忽视。

有免费和付费的主题和插件 – 这是差异显而易见的地方。

WordPress的核心是重要的,每个拥有一个网站的用户使用的东西,但是你的网站真正属于你的是选择你使用的插件和主题。各个插件和主题由不同的开发人员创建。

在这里,预算可能是有害的。有免费和付费的主题和插件 – 这是差异显而易见的地方。付费服务通常会有一个团队支持它,维护它,发布更新并定期进行改进。有时,免费的主题和插件是为了测试一个人的技能,或“只是为了好玩”。因此,投资付费插件或主题总是好的。

wordpress网站管理员做什么?

即使整个团队都在使用WordPress核心以及个人插件和主题,保护网站安全的很多责任都落在了你的身上。

创建一个网站并将其保留多年而无需维护和更新可以使您成为黑客的轻松目标。

付费服务是确保您安全的好方法,但不可能完全消除安全威胁。

WordPress只有与其相关的努力和教育数量一样安全:

保持核心最新

我们可以看到WordPress最易受攻击的版本可以追溯到3.X版本:

WordPress版本3漏洞

使应用程序保持最新对您的安全至关重要 – 大多数使用被黑客入侵的WordPress的网站都有过时的应用程序。确保启用自动安全更新,以便在发布后立即合并新的安全修复程序。

让主题和插件保持最新

主题和插件是WordPress平台深受这么多人喜爱的原因。想要拥有尽可能多的,定制和使网站独特和特殊,这是可以理解的,但每个新的插件或主题都可以成为恶意攻击者的门户。每当您安装新插件时,您都会想到嵌入恶意软件代码的可能性。正如我们所提到的,付费功能更安全; 开发人员更多地关注它们,保持安全并识别错误。对于免费的,可能性显着降低。

通常情况下,发生的是针对插件或主题发布的安全补丁,但网站所有者不会更新它们。因此,设置插件和主题以自动更新非常重要。删除未定期更新的插件和不使用的插件也很重要 – 核心添加的内容越多,黑客攻击您网站的攻击面就越大。

限制登录尝试并使用强密码

我们提到暴力攻击是最常见的WP安全威胁。因此,限制登录尝试总是好的,这样当有人反复尝试访问您的网站时,您将收到通知。此外,拥有一个由字母,数字和特殊字符的不寻常组合制成的强密码有很大帮助。

验证解决方案

来自Google的Re-Captcha等解码器解决方案是另一个很好的解决方案。将它们放在您的登录页面上,以便所有用户在能够注册或登录之前都需要通过检查。

注意:他们将删除标准“我不是机器人”Re-Captcha,并推出了一个新版本,可以检测用户是否有疑问,只有这样,用户才能通过常规检查。

服务器安全

在更新和维护您的应用程序的同时,黑客有可能在不接近WordPress的情况下损坏您的网站。

您可以随时选择专门托管WordPress网站的网络托管公司,或者您可以选择保护自己服务器的路线。

尽管如此,即使您在WordPress网站上拥有最强大的安全性但使用弱服务器,被黑客攻击的可能性仍然很高。

了解服务器安全性非常重要。始终确保已为您的操作系统,PHP,Web服务器以及任何其他应用程序安装了安全更新。

您可以采取以下步骤来强化服务器安全性:

系统防火墙

通过在计算机上安装防火墙来添加另一层保护。防火墙监视网络中的传入和传出流量。它还涵盖任何协议类型,并为您提供网络层上的DDoS保护。

WAF实施

保护您网站的最简单方法之一是启用Web应用程序防火墙。WAF用于监视,过滤并最终阻止进出Web应用程序的流量。它甚至可以在恶意流量到达您的网站之前阻止它。WAF实现涵盖HTTP(S),SOAP,XML和SPDY。它还提供加密流量检查,这是一种缺乏网络防火墙的安全措施。

WAF实现在防止XSS攻击和SQL注入方面非常有用。

IDS

IDS或入侵检测系统是一种监视主机或网络是否存在可疑恶意活动的软件。使用SIEM系统向管理员通知这些活动,该系统使用警报技术来区分真正的恶意攻击,其中黑客可能试图利用您网站中的安全漏洞,以及虚假警报。

 

TCP Wrappers

TCP Wrappers在某些方面类似于防火墙 – 它们可以阻止可疑流量,但由于某些附加功能,它们与防火墙的工作方式不同。

TCP Wrappers是基于主机的访问控制列表(ACL)系统,它通过使用host.allow文件中的访问规则来提供访问控制。使用TCP Wrappers,您可以为FTP等特定功能授予访问权限,但拒绝访问其他功能。他们还能够检查加密连接。

TCP Wrappers应与防火墙结合使用,因为它们不是替代品 – 请确保将其设置在防火墙系统后面。

DDoS保护

正如我们所提到的,WordPress网站经常成为DDoS攻击的目标。WordPress没有内置功能来保护您免受这些攻击,并且很难找到合适的插件来帮助您。

由于这些类型的攻击都针对您的服务器,因此防御DDoS攻击的最佳和最简单方法是为您的服务器提供内置保护的托管主机提供程序。该保护将在流量到达您的服务器之前对其进行过滤,如果被视为恶意则阻止流量。通过同时实施系统防火墙和WAF也可以保护DDoS攻击。

除了具有托管服务器,WAF实现和系统防火墙之外,您还可以禁用WP的XML-RPC功能。

它默认启用,允许传输大量数据。在它提供的众多功能中,它提供了Pingbacks和Trackbacks。Pingback功能用于不同博客之间的交叉引用,但其漏洞在于它可以被攻击者利用 – 使用WordPress网站创建僵尸网络然后用于DDoS攻击。

 报道,2013年通过利用Pingback对大约2,500个WP网站进行了攻击。这些网站没有受到损害或被接管,它们只是用来创建一个自愿的僵尸网络。

本地PC和网络安全

即使您的WordPress网站在服务器级别受到良好保护并且您的应用程序已更新,保持本地PC和网络安全也可降低远程攻击者攻击您网站的风险。

在本地网络上存在任何特洛伊木马,恶意软件或病毒会显着增加安装键盘记录程序的可能性,并且您的WP网站凭据会受到损害。

保持所有软件的更新,在发布时升级到最新的操作系统并定期运行防病毒软件。

WordPress安全吗

“WordPress安全吗?”这个问题没有明确的答案。

WordPress背后有一支优秀的团队,每周7天每天24小时为用户提供安全的环境,但网站所有者有责任自行管理他们的网站并保持更新。投资良好的插件和主题可以在化解攻击面方面发挥重要作用。

基于这一切,WordPress的安全性取决于您投入多少资金以确保其安全。教育和维护可以带来所有的不同,将对WordPress安全问题的无限回答改为绝对’是!’ 为了你。