[ad_1]
WordPress是網路上約四分之一的網站的基礎。 因此,這是黑客和其他犯罪分子的多汁目標。 如果他們可以在WordPress中找到漏洞,那麼他們擁有數百萬個站點的密鑰。 流行的WordPress插件中的漏洞幾乎是很誘人的,即使不是很流行的插件也可能使攻擊者可以訪問數千個站點。
這是Graeme Caldwell的嘉賓貢獻。
WordPress尤其如此。 WordPress只是最大的野獸-其他內容管理系統也有同樣的麻煩。 確保WordPress安全是開發人員和安全研究人員的工作,但他們只能做很多事情。 WordPress網站所有者也需要努力。
維護WordPress網站安全的一部分是了解風險以及如何保護您的網站免受常見漏洞的影響。
最近,WordPress安全公司Wordfence發布了WordPress網站遭到入侵的最常見方式的列表。 讓我們看一下該列表以及WordPress網站所有者可以做什麼以確保他們不會成為受害者:
4個最常見的WordPress攻擊插件漏洞
到目前為止,最大的罪魁禍首是插件中的漏洞。 由成千上萬的開發人員創建的成千上萬的插件,因此有意義的是,插件是最大的風險。
保護您的網站免受插件漏洞的一種方法是安裝儘可能少的插件。 插件生態系統是人們首先選擇WordPress的主要原因,因此我不建議您完全避免使用插件。 但是,如果您不使用插件,請將其刪除。 考慮是否需要插件提供的功能。 保持較低的插件數量可以減少威脅的表面積。
接下來,請確保您使用的插件保持更新。 漏洞一直被發現並得到修復。 更新提供了修復程序。 過時的插件是一種折衷的邀請。
如果某個插件有一段時間沒有更新,則它可能已被其開發人員放棄。 如果您懷疑沒有積極開發插件,請尋找替代方法。
蠻力
蠻力攻擊只是猜測。 攻擊者(通常是漫遊器)將嘗試儘可能多的用戶名和密碼組合,直到找到正確的用戶名和密碼為止。 此處的修復很簡單–不要使用容易猜到的密碼和用戶名。 長而複雜的密碼是不可能猜到的。 諸如「 pa55word」和「 ilovejustin」之類的密碼將在幾分之一秒內被猜到。
除了使用安全密碼之外,您還應該考慮在WordPress網站上安裝兩因素身份驗證,並使用一個限速工具來阻止登錄失敗太多之後的IP。
核心和主題漏洞
我將這兩個捆綁在一起,因為兩者的緩解措施相同。 保持您的網站更新!
WordPress Core通常比插件生態系統安全得多,絕大多數成功的攻擊都依賴於最新版本中已修復的漏洞。
再次,保持您的WordPress網站為最新!
託管漏洞
有時,網路託管公司會犯錯誤或他們依賴的軟體(例如Linux操作系統)包含漏洞。 避免不稱職的虛擬主機的最好方法是選擇具有良好安全聲譽和專業知識的虛擬主機,以保護其客戶。
使WordPress安全並不需要很多工作。 WordPress的開發人員已經奠定了堅實的基礎,並且只需花費一點時間和精力,WordPress用戶就可以保護其站點和博客免受犯罪分子的侵害。
編者注。 如果您想採取進一步措施並真正確保博客安全,請查看我們在CodeinWP博客上的深入文章:2021年保護WordPress網站安全的20個簡單技巧。
關於作者:Graeme Caldwell是Nexcess.net的入站營銷人員,Nexcess.net是Magento和WordPress託管的領先提供商。 在Twitter上@nexcess上關注Nexcess,在nexcess上在Facebook上關注他們,並查看其技術/託管博客blog.nexcess.net。