[ad_1]
WordPress是网络上约四分之一的网站的基础。 因此,这是黑客和其他犯罪分子的多汁目标。 如果他们可以在WordPress中找到漏洞,那么他们拥有数百万个站点的密钥。 流行的WordPress插件中的漏洞几乎是很诱人的,即使不是很流行的插件也可能使攻击者可以访问数千个站点。
这是Graeme Caldwell的嘉宾贡献。
WordPress尤其如此。 WordPress只是最大的野兽-其他内容管理系统也有同样的麻烦。 确保WordPress安全是开发人员和安全研究人员的工作,但他们只能做很多事情。 WordPress网站所有者也需要努力。
维护WordPress网站安全的一部分是了解风险以及如何保护您的网站免受常见漏洞的影响。
最近,WordPress安全公司Wordfence发布了WordPress网站遭到入侵的最常见方式的列表。 让我们看一下该列表以及WordPress网站所有者可以做什么以确保他们不会成为受害者:
4个最常见的WordPress攻击插件漏洞
到目前为止,最大的罪魁祸首是插件中的漏洞。 由成千上万的开发人员创建的成千上万的插件,因此有意义的是,插件是最大的风险。
保护您的网站免受插件漏洞的一种方法是安装尽可能少的插件。 插件生态系统是人们首先选择WordPress的主要原因,因此我不建议您完全避免使用插件。 但是,如果您不使用插件,请将其删除。 考虑是否需要插件提供的功能。 保持较低的插件数量可以减少威胁的表面积。
接下来,请确保您使用的插件保持更新。 漏洞一直被发现并得到修复。 更新提供了修复程序。 过时的插件是一种折衷的邀请。
如果某个插件有一段时间没有更新,则它可能已被其开发人员放弃。 如果您怀疑没有积极开发插件,请寻找替代方法。
蛮力
蛮力攻击只是猜测。 攻击者(通常是漫游器)将尝试尽可能多的用户名和密码组合,直到找到正确的用户名和密码为止。 此处的修复很简单–不要使用容易猜到的密码和用户名。 长而复杂的密码是不可能猜到的。 诸如“ pa55word”和“ ilovejustin”之类的密码将在几分之一秒内被猜到。
除了使用安全密码之外,您还应该考虑在WordPress网站上安装两因素身份验证,并使用一个限速工具来阻止登录失败太多之后的IP。
核心和主题漏洞
我将这两个捆绑在一起,因为两者的缓解措施相同。 保持您的网站更新!
WordPress Core通常比插件生态系统安全得多,绝大多数成功的攻击都依赖于最新版本中已修复的漏洞。
再次,保持您的WordPress网站为最新!
托管漏洞
有时,网络托管公司会犯错误或他们依赖的软件(例如Linux操作系统)包含漏洞。 避免不称职的虚拟主机的最好方法是选择具有良好安全声誉和专业知识的虚拟主机,以保护其客户。
使WordPress安全并不需要很多工作。 WordPress的开发人员已经奠定了坚实的基础,并且只需花费一点时间和精力,WordPress用户就可以保护其站点和博客免受犯罪分子的侵害。
编者注。 如果您想采取进一步措施并真正确保博客安全,请查看我们在CodeinWP博客上的深入文章:2021年保护WordPress网站安全的20个简单技巧。
关于作者:Graeme Caldwell是Nexcess.net的入站营销人员,Nexcess.net是Magento和WordPress托管的领先提供商。 在Twitter上@nexcess上关注Nexcess,在nexcess上在Facebook上关注他们,并查看其技术/托管博客blog.nexcess.net。