安全威脅並非 WordPress 網站獨有。每個平台,無論是私有平台還是開源平台,都在遭受全天候的攻擊。
幸運的是,WordPress 社區提供了許多解決方案來簡化這項工作,以下是保護 WordPress 網站免受安全威脅的幾個關鍵步驟。
如何保護 WordPress 網站
為了減少惡意活動和漏洞,所有 WordPress 網站使用者都應該考慮八項基本行動。
遵循這些最佳實踐步驟將有助於確保 WordPress 網站準備好迎接每天都在刺探網站的駭客攻擊:
- 使用 HTTPS。
- 不要使用 “admin” 一詞作為您的管理員使用者名稱。
- 強制使用高強度密碼。
- 更新外掛和主題。
- 網站備份計劃。
- 盡量減少外掛的使用。
- 雙重驗證/兩步驟驗證(2FA)。
- 安裝 WordPress 防火牆和漏洞掃描程序。
讓我們更詳細地討論一下每一個。
添加HTTPS/SSL
到目前為止,大多數網站都在使用HTTPS。但是,如果您的網站未使用 HTTPS,請諮詢您的網路託管服務商以了解添加免費 SSL 證書的情況。
只需使用 https:// 設置 WordPress 網址。
如果網站從不安全狀態升級到安全狀態,那麼 Really Simple SSL 插件(超過 500 萬個網站使用)值得研究,因為它確實透過處理轉址和其他相關任務簡化了到 HTTPS 的轉換。
Really Simple SSL 還透過提供添加安全標頭的選項來幫助緩解點擊劫持和跨站點偽造攻擊等安全威脅。
如今,安裝 SSL 證書是一件容易的事。
許多網路主機提供免費的 SSL 證書——此外,這是 Google 眾所周知的排名因素。
轉換為 HTTPS 後,最好檢查沒有頁面請求 HTTP 連結或內容,檢查混合內容是必須的。
混合內容是指從HTTPS 頁面連結到不安全的網站資產(指令碼、圖片、影片等)。
可以使用 Missing Padlock 抓取您的網站以快速識別混合內容的實例,然後透過連結到 HTTPS 資產來修復錯誤。
使用安全的管理員使用者名稱
絕大多數針對 WordPress 登入頁面的安全攻擊都是使用使用者名稱 “Admin” 完成的。
嘗試破解登入密碼的攻擊主要有兩種:
- 暴力攻擊:暴力攻擊是指自動駭客軟體嘗試使用不同的單詞、字母和數字組合來猜測管理員密碼。
- 字典攻擊:字典攻擊是指駭客軟體使用普通密碼來嘗試猜測管理員密碼。
在許多情況下,這些軟體使用的管理員名稱是“Admin”。
不使用 “Admin” 一詞作為使用者名稱是一個簡單的步驟,有助於保護 WordPress 網站。
為了更進一步,您可以使用Wordfence 安全外掛建立防火牆規則,以自動阻止任何試圖使用使用者名稱 Admin 登入的人或機器人。
強制使用高強度密碼
不允許任何人,尤其是具有管理員權限的使用者建立不安全的密碼。
即使是網站權限較低的用戶(如訂閱者級別)也可能成為攻擊媒介。因此,對所有可以登入 WordPress 網站的人強制使用高強度密碼非常重要。
流行的iThemes Security WordPress 外掛擁有超過 100 萬用戶,提供登入密碼高強度強制執行以及雙重驗證。
還可以使用Wordfence WordPress 安全外掛啟用強制使用高強度密碼的密碼安全策略。
更新外掛和主題
對外掛、佈景主題和核心 WordPress 安裝本身的一些更新是為了修復漏洞,未能更新軟體可能導致網站變得易受攻擊。
大多數更新工作正常。在極少數情況下,更新可能會改變軟體中的某些內容,開始與另一個外掛或主題發生衝突,從而導致網站錯誤。
如果發生這種情況,如果網站已備份,則很容易將網站回復到以前的狀態。
更新外掛和佈景主題的最佳方法是建立測試網站並檢查網站是否可以使用更新的軟體正常運行。
但是,如果您無法建立測試網站,第二個選項是備份網站然後更新它。
測試網站以確保一切正常,如果網站出現故障,則使用備份將其回復到更新前。
盡量減少外掛的使用
安裝的每個外掛都會增加將網站暴露於漏洞的可能性。
除了安全原因,使用過多的外掛會影響網站性能,並增加兩個或多個外掛之間的代碼發生衝突並導致網站故障的可能性。
提前計劃要使用哪些外掛來完成所需的工作,有一些外掛可以完成多項任務,無需安裝獨立外掛即可完成同一件事。
實施雙重驗證/兩步驟驗證
雙重驗證需要兩種形式的身份驗證,才能登入到啟用此功能的 WordPress 網站。
第一個是使用者名稱和密碼。
第二個是第二種身份驗證形式,通常使用使用者手機上的 Authy 或 Google Authenticator 等應用程式。
因此,即使駭客獲得了使用者名稱和密碼的訪問權限,如果沒有第二次身份驗證,他們也無法登入。
有許多 WordPress 外掛可供選擇以添加此功能,包括:
WP 2FA
WP 2FA是添加雙重驗證的流行選擇。
它支持多種雙重驗證方法,包括Google Authenticator、Authy、電子郵件連結、電子郵件OTP和推送通知。
Pro 版本還提供其他方法,例如語音和 WhatsApp 身份驗證。
Wordfence 登入安全
Wordfence是一個值得信賴的品牌。其獨立的雙重驗證外掛支持 Authenticator、Authy、1Password 和 FreeOTP。
此外,像Wordfence和iThemes Security這樣的安全外掛也有開啟雙重驗證的選項。
安裝 WordPress 網站安全外掛
安全外掛很有用,因為它們可以關閉任何安全漏洞並阻止試圖利用這些漏洞的駭客。
有兩種 WordPress 網站安全外掛:
- 加強安全和掃描。
- 防火牆。
這裡有一些推薦工具。
Sucuri Security
Sucuri 是安全外掛的可靠選擇,它歸 GoDaddy 所有。
Sucuri 會掃描網站中的惡意軟件,並提供加強外掛以防止漏洞利用的選項。
選擇 Sucuri 很容易,因為它補充了防火牆外掛,例如 Wordfence。
付費版本還包括一個防火牆。
Jetpack Protect
Jetpack Protect 由 WordPress.com、Akismet、WPScan 和 WooCommerce 等背後的公司 Automattic 創建。
Jetpack Protect 每天對 WordPress 核心、外掛和佈景主題執行惡意軟體掃描。
這個免費外掛相對較新——它在 2022 年被拆分成一個獨立的插件。
Wordfence Security
Wordfence 是 WordPress 安全的熱門選擇,有超過 400 萬個安裝。
Wordfence 充當防火牆,保護網站免受駭客攻擊,如果活動符合駭客的模式,則可以禁止自動駭客機器人和實際駭客。
使用者可以使用能夠立即阻止駭客的規則配置 Wordfence 防火牆。
Wordfence 還透過提供雙重驗證和在不應運行 PHP 的文件夾中禁用 PHP 執行來幫助加強網站免受駭客攻擊。
Wordfence 的另一個好處是當外掛需要更新時,外掛會發送電子郵件提醒。
Wordfence 的付費版本會收到防火牆規則,以在 Wordfence 知道最新漏洞時立即防止它們。
iThemes Security
iThemes Security 是一個一體式外掛,可以掃描和加強網站並像防火牆一樣阻止惡意機器人,有超過一百萬個安裝。
iThemes 處理許多與安全相關的活動,這使其成為那些喜歡一個外掛來完成所有工作的人的熱門選擇。
採取額外的 WordPress 安全措施
這些是建立強大安全狀態的附加步驟。
檢查您的 PHP 版本
PHP 是運行 WordPress 的軟體,過時的 PHP 版本可能會使網站面臨安全漏洞。
確保所使用的 PHP 版本尚未達到生命週期結束狀態 (EOL)。
掃描線上漏洞
以下是三個可掃描漏洞或判斷網站是否已被駭客入侵的線上工具:
- Sucuri 惡意軟體和安全檢查器:掃描網站以檢查漏洞。
- Google 安全瀏覽網站狀態:顯示 Google 是否在網站上遇到漏洞。
- JavaScript Vulnerability Scanner:測試網站是否使用易受攻擊的 JavaScript。
WordPress 安全的未來
駭客正在攻擊所有網站,無論使用何種內容管理系統 (CMS)。
WordPress 是世界上最流行的 CMS,這使其成為駭客的熱門目標。
幸運的是,WordPress 有一個龐大的社區致力於保護它的安全,這是其他平台所沒有的優勢。
所有 WordPress 網站所有者都應考慮花時間採取安全措施以確保其 WordPress 網站完全安全。
資料來源:The WordPress Security Guide To Keep Your Site Safe
延伸閱讀:
