如何提高 WordPress 安全性
内容管理系统 (CMS) 是一种软件应用程序,可帮助用户构建、管理和自定义网站,而无需自己编写代码。WordPress 是世界上最流行的内容管理系统之一,因此成为网络攻击者的高价值目标。
WordPress 自己的内部团队会定期提供安全更新,并提供针对新发现的系统漏洞的补丁,但是 WordPress 用户也可以采取一些措施,确保自己的网站抵御已知和新出现的威胁。这些步骤大多分为两类:消除威胁和降低风险。
消除威胁侧重于消除网络攻击和其他威胁。例如,WordPress 用户可以安装防火墙来过滤恶意流量并缓解分布式拒绝服务 (DDoS) 攻击,或者选择提供内置安全功能的托管提供商。
降低风险是指预防性安全做法,比如更改 WordPress 数据库的默认前缀以使攻击者不能轻易找到它,执行严格的用户访问要求,以及定期进行安全扫描。
WordPress 的安全性如何?
虽然 WordPress 是一个强大而灵活的工具,但它也无法避免网络攻击、漏洞或用户错误带来的其他风险。
常见的 WordPress 攻击
- 基于密码的攻击:暴力破解密码尝试是指攻击者在登录页面上重复输入不同的用户凭据(用户名和密码组合),通常用于未经授权进入 WordPress 帐户。其他形式的密码攻击包括凭据填充和字典攻击。
- 跨站点脚本 (XSS):XSS 允许将恶意代码注入 WordPress 网站。这通常通过 WordPress 插件实现。进一步了解如何防范 XSS 攻击。
- SQL 注入 (SQLi):有时也称为数据库注入,SQLi 攻击通过数据输入字段(例如联系表格)向 WordPress 网站注入恶意代码。
- DDoS 攻击:DDoS 攻击会给 WordPress 网站带来大量不必要的流量,导致网站性能严重下降或服务中断。
WordPress 漏洞
- 过时的 WordPress 版本:WordPress 会定期更新其核心软件,以修补现有漏洞并加强对新威胁的防御。旧版本的 WordPress 没有这些保护措施,可能仍然容易受到攻击。
- 第三方主题和插件:第三方 WordPress 主题和插件可提供多种功能,但可能并不总是符合最新的安全要求。因此,将它们安装在 WordPress 网站上会带来风险。
- 后门:一旦 WordPress 帐户被攻击者破解,就可以创建后门(一种绕过安全措施的隐蔽方法)。后门允许攻击者反复访问 WordPress 网站或发起进一步攻击。
- 用户身份验证薄弱:不注意密码卫生(创建高强度密码、定期更改密码等)或不实施多因素身份验证 (MFA) 会增加破解风险。
- WordPress 的默认设置:WordPress 有多种默认设置,因此攻击者很容易识别常见的入口点(如 /wp-login.php URL)和敏感的网站信息(如 wp-config.php 文件)。
WordPress 安全最佳做法
用户可以采取几个步骤来保护 WordPress 网站免受常见网络威胁和已知漏洞的侵害。这些步骤通常可分为以下几类:网站设置、主动安全功能、用户访问、用户权限和网站安全更新。
保护网站设置
- 使用安全的 WordPress 托管。WordPress 网站的安全性取决于其托管服务提供商(代表用户提供内容的第三方服务)。应选择能够抵御复杂攻击、帮助扫描新出现的漏洞和威胁并提供灾难恢复资源的主机。
- 更改 WordPress 默认登录页面 URL 和数据库前缀。这些 URL(分别以 /wp-login.php 和 /wp-admin 结尾)在所有 WordPress 网站上都默认处于启用状态,因此攻击者很容易找到它们。可以将它们重命名,以帮助避免暴力破解密码尝试和其他有针对性的威胁。
- 移动 wp-config.php 文件。wp-config.php 文件包括 WordPress 安全密钥和其他敏感的 WordPress 安装详细信息。不幸的是,它也很容易找到。将该文件移至 WordPress 根目录之上,使攻击者难以找到。
- 安装安全的 WordPress 主题。有些 WordPress 主题尚未更新以支持最新版本的 WordPress,或者可能不符合现有的 WordPress 安全标准。因此,它们可能更容易被攻击者利用。选择 WordPress 主题目录中包含的主题,或在安装前通过 WordPress 主题验证器进行验证。
- 隐藏正在使用的 WordPress 版本。许多 WordPress 攻击利用的是不同版本 WordPress 特有的漏洞。通过隐藏正在使用的 WordPress 版本,用户可以避免这些威胁,或使攻击者难以发现其网站的现有漏洞。
安装主动安全功能
- 使用 SSL/TLS 证书。安全套接字层 (SSL) 也称为传输层安全性 (Transport Layer Security, TLS),它是一种安全协议,有助于确保在 Web 上传输数据的安全和加密。SSL 证书可从托管服务提供商或 Cloudflare 等第三方安全服务机构获得。
- 安装防火墙。Web 应用程序防火墙 (WAF) 位于 WordPress 网站前端,用于过滤和阻止未经授权的流量。安装 WAF 有助于防止 DoS 和 DDoS 攻击对网站服务造成重大影响。
- 阻止使用 XML-RPC 协议的 HTTP 请求。XML-RPC 经常被用来进行大规模网络攻击或暴力尝试。可使用插件或防火墙规则选择退出 XML-RPC 功能。
- 防止热链接。热链接允许第三方嵌入来自 WordPress 网站的内容,而无需自行托管。当这种情况反复发生时,就会增加内容原始主机的带宽成本。
保护用户访问
- 强制实施 MFA。MFA 要求用户在访问受保护的系统或帐户之前提供一种额外的身份验证方式,即使攻击者破解了合法用户的用户名/密码组合,也很难侵入 WordPress 网站。
- 限制失败的登录尝试次数。当攻击者在登录页面上无限制地尝试输入凭据时,密码攻击就更有可能成功。
- 自动注销不活动的用户。有些用户可能会通过公共计算机访问 WordPress 帐户,或养成其他不安全的浏览习惯。在设定的闲置时间后自动注销用户,以减少窥探和其他未经授权的第三方访问的机会。
- 删除不活动的用户帐户。即使用户不再使用自己的帐户访问 WordPress 网站,他们的帐户和登录凭据也可能成为攻击者的目标。
管理用户权限
- 限制文件和文件夹权限。除非绝对必要,否则用户不应拥有管理员级别的权限。限制用户可以在 WordPress 网站上执行的功能,以降低不必要的数据共享的可能性,并将漏洞的影响降至最低。(了解有关最低权限原则的更多信息)。
- 禁止编辑文件。WordPress 的默认文件编辑器允许用户轻松编辑 PHP 文件。如果 WordPress 帐户被破解,该功能还允许攻击者大幅修改网站文件的代码。
- 监控用户活动。WordPress 攻击既可能来自外部,又可能来自内部。定期记录和审查用户活动,以跟踪任何可疑行为(如更改文件、安装未经授权的插件等)。
更新 WordPress 安全功能
- 更新到最新版本的 WordPress。WordPress 会定期更新,以防御已知漏洞。查看 WordPress 仪表板顶部的通知,其会在新版本可用时提醒用户。
- 更新 WordPress 主题和插件。每个主题和插件都是攻击者的潜在切入点。正如旧版本的 WordPress 可能包含重大漏洞一样,攻击者也经常使用过时的主题和插件对 WordPress 用户进行攻击。
- 定期进行安全扫描。使用可信的安全插件、软件或第三方服务自动检查恶意软件和其他安全风险。
- 定期备份网站数据。万一攻击得手,用户可以通过最近的网站备份恢复丢失的数据。
Cloudflare 如何保护 WordPress 网站?
Cloudflare 自动平台优化 (APO) 是一个 WordPress 插件,允许用户访问各种安全和性能功能,包括 Cloudflare WAF 规则集、Universal SSL、DDoS 防护等。有了 Cloudflare Zero Trust,用户可以通过启用 MFA、监控登录尝试和限制用户访问内部资产来进一步加强 WordPress 的安全性。进一步了解 Cloudflare 如何帮助保护 WordPress 网站。
常见问题解答
WordPress 用户如何防范暴力破解密码尝试?
可以通过限制登录尝试和实施双因素身份验证 (2FA) 来缓解暴力攻击。额外的保护措施包括:使用 Web 应用防火墙 (WAF) 来阻止可疑的登录尝试,而且特别是对于 WordPress 网站,还可以阻止使用 XML-RPC 协议的 HTTP 请求。
WordPress 更新在维持网站安全方面发挥着怎样的作用?
WordPress 更新经常包含针对新发现漏洞的安全补丁。保持定期更新核心文件、主题和插件,是维护 WordPress 网站安全最有效的措施之一。
安全托管如何影响 WordPress 安全性?
安全托管提供商提供专门的 WordPress 安全功能,包括恶意软件扫描、服务器级保护,以及灾难恢复服务。
为什么 SSL 加密对 WordPress 网站非常重要?
SSL 加密可以保护用户与 WordPress 网站之间传输的数据,防止攻击者查看敏感信息。SSL 还会对服务器进行身份验证,这有助于防止攻击者假冒您的品牌。
不活跃的主题和插件会带来哪些安全风险?
不活跃的主题和插件可能包含未修补的安全漏洞,这些漏洞可能会被攻击者加以利用。应该从 WordPress 安装中完全删除这些内容。