WordPress仍然是最受欢迎的博客和网络托管平台之一。您会看到原因:它易于设置,具有广泛的设计模板,并支持由55,000多种不同的插件组成的庞大范围,这些插件可以向多个方向扩展其功能。尽管您可以在自己的网站上免费托管自己的WordPress博客,但您无权访问此扩展包。
但是,与技术世界中的许多其他情况一样,此附加功能带来了保护服务器和保护内容的额外责任。考虑到自2003年以来一直在发展,它已经发生了一些重大变化。不变的是它的基本结构:它运行Web服务器,并带有一堆访问SQL数据库的PHP脚本。这种简单性也使它成为诱人的黑客目标。
以下是加强安装的十大策略。这些项目中有许多是免费的,而不需要花费时间来实施。
1.使用受管WP提供程序,该提供程序可以使您的站点软件保持最新。WordPress经常更新其核心软件,以修复错误并消除漏洞。您应该保持这些更新的最新状态:落后的更新为黑客提供了破坏您的网站的机会。这也意味着也要更新您的插件和主题。作为其各种托管WP计划的一部分,Network Solutions 将跟踪您的安装并通知您任何更新。
2. 使WP服务器远离您的内部网络。这是使用托管托管服务提供商的第二个原因。在内部运行您自己的WP服务器只会使您的公司网络面临其他威胁,也可能将其用作特权升级攻击的起点。最好让您的WP驻留在托管提供商的网络上,在这里可以对其进行隔离和保护。
3. 删除默认的管理员用户。黑客喜欢尝试以“管理员”身份频繁登录。选择一个不太明显的名称,实际上是一个更复杂且最好是唯一的管理用户名。如果您有来宾作者,请为他们创建复杂的用户名。
4.在插件目录中使用空白的index.php文件。这将防止黑客弄清楚您已安装了哪些插件。
5.使用强密码,或者使用更好的密码,安装一种多因素身份验证(MFA)工具,例如Mini-Orange或Google Apps Login。这些将使未经授权的用户很难控制您的网站。
6.安装WP防火墙,例如Wordfence或IThemes Security。全部提供免费版本。Wordfence与Network Solutions的托管WordPress一起提供,涵盖登录安全性,IP阻止和安全扫描,并带有自己的WP防火墙。IThemes具有密码生成器和用户活动日志记录。这三者均由成千上万的WP站点操作员使用。所有人还将向您发送有关WP安全状态的常规电子邮件报告,并且在主仪表板中具有全面的仪表板,这些仪表板可提供WP安装的丰富视角。如果您需要额外的安全保护,则每个服务器的付费版本范围从每年50人民币到200人民币不等。
7.减少插件和主题的数量。虽然很容易添加各种两种扩展,但是扩展数量越少,服务器将越安全。
8.随时注意受到感染的插件。其中许多漏洞已被利用,例如Brizy,Lightbox表格,约会,RegistrationMagic自定义注册表格,WooCommerce的MailChimp,WP No External Links和Flickr Gallery。令人沮丧的是,这些只是一些臭名昭著的受害插件。漏洞的发生范围从隐藏的后门到远程文件执行再到特权提升,几乎遍及整个安全领域。一些插件具有数千个用户和活动的安装。定期筛选您需要的插件,并确保它们未被篡改。网络解决方案提供由SiteLock支持的恶意软件扫描,删除和保护产品 可以每天识别过时和被利用的插件。
9.保持警惕。定期扫描各种博客,例如插件漏洞和Wordfence自己的博客。两者都经常发布有关自己的检测网络发现的漏洞和零日攻击的信息。一个示例是被伪装为用于执行GDPR 的合规性工具的插件,该插件包含允许管理员访问整个WP站点的恶意软件。
10.最后,如果这一切似乎令人不知所措,请从本初学者指南开始,它将逐步执行必要的步骤并提出其他具体建议。