如何进行 WordPress 安全审计

保护您的 WordPress 网站不是一劳永逸的事情。 无论您多么信任您的安全插件,或者您在网站加固方面做得多么彻底,今天的安全网站都不会成为明天的安全网站。 为了防止黑客入侵,您必须定期进行 WordPress 安全审核并填补您发现的安全漏洞。

网站黑客攻击策略一直在进步,随之而来的是保护网站安全的预防措施。 把它想象成一个循环。 网站越安全,入侵它的黑客就越有创意,这意味着您的网站必须变得更加安全,等等。

旨在至少每三个月进行一次 WordPress 安全审计。 每个月都更好,每周(甚至每天,取决于您的网站的敏感程度)是最好的。 当然,如果您觉得您的网站有问题,请立即进行安全审核。 以下任何一项都应引发危险信号:

  • 您的网站突然变得缓慢而缓慢。
  • 网站流量无明显原因大幅下降。
  • 有新帐户、登录尝试或“忘记密码”请求。
  • 您未添加的新链接位于您的网站上。

以下步骤是确保您的网站在安全方面保持最佳状态的必要步骤。 手头有一份检查清单,您将简化审核而不是压倒性的审核。

WordPress 安全审计概述

在某个时候,几乎每个 WordPress 网站都会遇到某种类型的安全问题。 一个常见的是插件或主题受到漏洞的困扰,允许黑客直接进入您的网站。 一旦您的网站被黑,可能会发生许多事情:

  • 客户个人资料被盗
  • 显示的非法广告和内容
  • 交通转向别处
  • WordPress 数据被加密、删除或出售

这不仅仅是几个小时的头痛或网站瘫痪。 黑客可以保留您的数据以索取赎金。 您网站上的信息可以在暗网上出售。 Google 可以将您的网站列入黑名单,以便在网页上显示垃圾邮件。 如果客户的信用卡信息被盗,客户可以起诉您。 一旦黑客获得了您的访问权限,其他网站可能会被感染。

WordPress 安全审核会识别这些漏洞,因此您可以在黑客入侵之前立即修补它们。您将确保您当前采取的安全措施仍然有效,并且您还将弄清楚您在哪里需要更多的保护。

评估您正在使用的安全插件

您的 WordPress 安全插件是保护您网站的最重要工具之一。 确保您的安全插件仍以以下方式运行:

  • 活动日志:这会跟踪您站点的用户,包括谁登录和何时登录、登录尝试失败以及站点更改。
  • 防火墙:这将阻止试图进入您网站的机器人、黑客和 IP 地址。
  • 登录尝试:质量安全插件将强制执行强密码,需要两因素身份验证并限制登录尝试。
  • 登录保护:这可以阻止暴力攻击,即黑客尝试不同的用户名和密码组合来登录。
  • 恶意软件扫描和清理:这应该每天运行,深度扫描您站点的数据库、文件和文件夹中是否存在恶意软件,并清除发现的任何内容。
  • 实时警报:如果您的网站出现任何可疑情况,该插件应立即通知您。

还没有安全插件? 考虑将其作为 WordPress 安全审核的初步步骤。 我们汇总了 6 个最好的 WordPress 安全插件 从中选择。

测试您的网站备份解决方案

如果您的网站出现无法修复或过于复杂而无法修复的问题,拥有 WordPress 备份意味着您可以将您的网站恢复到问题发生前的先前状态。 但是,如果您的备份失败,那么您将无法恢复任何内容,这意味着您可能会被受感染或出现故障的站点所困。 理想情况下,您将使用备份解决方案(无论是您的主机提供的还是您使用的插件),它允许您测试备份,例如 博客保险箱. 您可能还想阅读我们的文章 6 个最好的 WordPress 备份插件.

检查您的 WordPress 管理员和 FTP 设置

使用 WordPress,您可以让多人登录以处理各种项目,但这并不意味着每个登录的人都应该拥有对您网站的完全访问权限。 当涉及到你的 FTP客户端,允许多人访问意味着他们可以更改您网站的……嗯,所有内容。

当您在 WordPress 中添加新用户时,您为他们分配了一个角色(您也可以编辑他们的个人资料以更改他们的角色):

how-to-conduct-a-wordpress-security-audit-1 如何进行 WordPress 安全审计

不同的角色有不同的能力。 例如,管理员可以访问站点的所有管理工具(如更改主题或安装插件),但贡献者只能编写和管理自己的帖子。 这里有一个全面的细分 不同的角色及其能力.

对于您的 WordPress 安全审核,请执行以下操作:

  • 查看哪些 WordPress 用户具有管理员级别的访问权限。
  • 确定所有这些用户是否都需要该级别的访问权限(以及其他访问权限受限的用户是否应该是管理员)。
  • 通过更新这些个人的用户角色来降低权限并限制访问。
  • 如果您无法识别仪表板中的用户,请将其删除 – 他们可能是由黑客创建的帐户。
  • 是否有任何用户名只是“admin”? 这是一个非常常见的用户名,黑客经常尝试使用该用户名来访问您的网站。 为该人创建一个新用户帐户并删除旧帐户。
  • 删除不需要那么高访问级别的用户的 FTP 帐户。

最后,如果您的网站允许会员,您要确保他们在注册时必须实际创建一个帐户,并且他们的默认角色不允许管理员访问。 前往“设置”>“通用”。 取消选中任何人都可以注册旁边的框。 然后,在新用户默认角色下选择适当的选项。

how-to-conduct-a-wordpress-security-audit-2 如何进行 WordPress 安全审计

确保 WordPress 是最新的

您可能会自动运行此程序,但仍然需要仔细检查 WordPress 是否已更新到其最新版本。 更新不仅仅是修补安全漏洞——它们还提高了性能并添加了功能。 转到仪表板 > 更新以查看是否已准备就绪。

how-to-conduct-a-wordpress-security-audit-3 如何进行 WordPress 安全审计

清理你的插件和主题

插件可以扩展您网站的功能,但它们也容易受到攻击,特别是如果它们长时间没有更新。 可靠的开发人员将密切关注其插件的漏洞并发布补丁更新。 在您的 WordPress 安全更新期间,前往您的插件列表并执行以下操作:

  • 停用并卸载您不再使用或不认识的任何插件。
  • 更新任何已准备好更新的剩余插件。
  • 如果您使用的插件尚未收到开发人员的更新,请考虑使用另一个具有相同功能的插件 – 过时的插件太容易受到安全问题的影响。

即使您每个月左右进行一次 WordPress 安全审核,也最好定期检查您的插件以 更新它们 如所须。 此外,删除您当前未使用或不希望需要的任何主题。 就像插件一样,主题会带来安全漏洞的风险,因此最好让您的网站尽可能地保持整洁。

保持安全!

您不会停止在业务的其他部分工作——提出新产品或服务、营销它们、销售等。您的网站安全应该没有任何不同。 如果您不及时发现,一个小问题可能很快导致威胁业务的黑客攻击,但如果不知道问题所在,您将不知道要实施哪些修复。

保持您的网站安全是一个持续的过程,拥有一份首选的 WordPress 安全审核清单可以让您省去试图记住每个月要做什么的麻烦。 此外,您可以使用安全插件自动化越多越好。 如果您需要做的大部分事情是仔细检查插件是否仍然正常运行,那么您的 WordPress 安全审核清单可能会小得多。 我们对两个领先的安全插件的评论进行了深入的概述, 苏库里文字围栏.

来源

相关文章