13 个 WordPress 安全神话 | 保护您的网站免受黑客攻击!

已发表: 2019-03-23

尽管 WordPress 拥有来自全球各地的庞大用户社区,并且是顶级内容管理平台,但这个排名第一的位置却背上了目标,并且出现了许多 WordPress 安全神话。

您会发现很多关于保护您的网站的安全建议以及提高 WooCommerce 安全性的方法,但这导致了许多神话,它们实际上对保护您的网站没有任何好处。 其中一些技巧甚至可能使其更容易受到攻击。

WordPress 安全神话

让我们来看看 13 大 WordPress 安全神话,以及您可以采取哪些措施来正确保护您的 WordPress 网站。

1. 隐藏你的 wp-admin 或 wp-login 页面,没有人可以找到登录 URL

这个想法背后的逻辑是防止潜在的黑客入侵他们找不到的东西。 如果您的登录 URL 不是标准的 WordPress /wp-admin/ URL,您是否没有受到强力攻击的保护? 虽然隐藏您的 wp-admin URL 可以帮助阻止一些攻击,但它不会阻止所有攻击。

此策略不起作用原因是,除了使用 Internet 浏览器的正常方式(例如 REST API 或 XML-RPC)之外,还有其他方式可以登录您的 WordPress 站点。 这意味着即使您更改 WordPress 登录 URL 您使用的插件或主题仍然可以链接到更改后的 URL。

虽然隐藏后端功能足以阻止大多数直接访问尝试,但那些找到您的自定义 wp-admin 或 wp-login URL 的人仍然可以重定向到您的登录页面。

隐藏wordpress登录网址

这不起作用的另一个原因是完全隐藏后端会破坏您的网站。 您安装的所有内容都假定 wp-admin 将在 URL 中。

隐藏登录 URL 可能会模糊,但它不能完全改变你的 WordPress 登录的实际链接,自定义登录 URL 实际上会导致很多问题,因为许多主题、插件和应用程序将 wp-login.php 硬编码到他们的基本代码。

如果这些插件、主题等找不到链接,他们会发现错误。 更可靠的解决方案是使用双因素身份验证并拒绝泄露密码。

2. 隐藏您的 WordPress 版本号和主题名称以获得额外保护

这种策略背后的想法是,如果黑客掌握了这些信息,他们就可以使用它来访问您的网站。

隐藏您的 WordPress 版本信息或主题名称不会让您免受安全漏洞的侵害,因为有许多机器人在您网站上运行的代码中搜索已知漏洞。

隐藏 wordpress 插件版本号

不要掩盖这些信息,请确保您的 WordPress 安装始终是最新的,以确保您安装了最新的安全补丁。

3.重命名你的wp-content目录,你就安全了

您的插件、主题和媒体上传文件夹都包含在您网站的 wp-content 目录中。 那里有大量代码和信息可供使用,因此保护这些信息当然是谨慎的做法。

但是,更改内容目录名称实际上不会为您的站点添加额外的保护层。 使用浏览器开发工具,即使您更改了wp-content名称,也可以找到它。

重命名 wordpress 内容目录

重命名它甚至可能导致与具有硬编码 wp-content 目录路径的插件发生冲突,它们需要使用这些路径来工作。

您应该关注 wp-content 目录的唯一原因是它是否包含带有可被利用的漏洞的插件或主题。 防止这种情况的最佳方法是使您的主题和插件保持最新以避免安全漏洞。

4. 黑客只发生在大型网站上

即使您的 WordPress 网站很小,流量也很低,但在保护您的网站时采取主动也很重要。

黑客不在乎网站有多大或有多忙。 任何易受攻击的站点都可能成为恶意站点、垃圾邮件甚至比特币挖矿的中心。 关键是漏洞而不是站点大小或流量水平。

您可以通过始终保持插件、主题和 WordPress 本身最新来缓解这种情况,并为 WordPress安装受信任的安全插件。 高质量的托管和双因素身份验证也是阻止攻击者的重要组成部分。

5. WordPress 不是一个安全的平台

您以前可能听说过这种说法,但这根本不是真的。 WordPress 是当今在线的顶级内容管理系统之一,如果没有可靠的安全措施,它就无法达到现在的水平。

最大的漏洞来自用户,可以通过网站所有者采取的预防措施来避免。 黑客攻击的第一大原因是过时的软件,大多数插件将定期修补以修复其代码中的潜在漏洞。

确保始终更新您的主题和插件。 当网站遭到黑客攻击时,这不是 WordPress 的缺陷——而是用户的警惕性失误导致他们容易受到攻击

6. 定期更新始终确保您的网站安全

虽然定期更新您的插件和主题对于维护您网站的安全性至关重要,但这并不是解决您网站潜在漏洞万能药。 WordPress 有许多可用的插件和主题,其中很大一部分两年或更长时间没有更新。

wordpress 主题更新

没有得到适当、定期维护的插件可能包含过时的功能,这些功能会减慢您的加载时间,甚至更糟的是,会破坏您的网站。

检查以确保您的插件获得积极的支持,以保护您免受潜在漏洞的侵害,并删除不再获得支持的旧插件以最大程度地降低黑客攻击的风险。

7.备份将始终修复您的网站

备份是修复受感染网站的最常见解决方案之一。 虽然完整的站点备份(检查最好的免费 WordPress 备份插件)允许您恢复您的站点,但它会给您留下与首先危及您的站点相同的安全漏洞。

  • 姓名
  • 免费版
  • 付费版
    随着额外的升级和插件
  • 全站备份
    是否可以使用所有文件备份整个站点
  • 数据库备份
    是否可以只备份数据库
  • 备份到 Dropbox
    是否可以将备份文件保存到 Dropbox
  • 备份到 Amazon S3
    是否可以将备份文件保存到 Amazon S3
  • 备份到 Google Drive
    是否可以将备份文件保存到 Google Drive
  • 备份到 FTP
    是否可以将备份文件保存到 FTP
  • 备份到 Rackspace
    是否可以将备份文件保存到 Rackspace
  • 电子邮件通知
    创建备份时的电子邮件通知
  • 仅更改备份
    为了减少服务器资源和节省空间,只将新的更改添加到备份中
  • 计划备份
  • 实时备份
    每当您在站点上进行更改时都会创建备份文件
  • 迁移站点
    复制站点或将其移动到新主机
  • 单个文件恢复
    从备份中恢复单个文件/文件而不是整个文件
  • 从界面恢复备份
  • 安全和恶意软件扫描
    搜索病毒和其他感染的选项
  • 数据库修复和优化
    优化 wordpress 数据库的选项
  • 多站点支持
  • 付费版本的价格
    包含所有插件和功能(1-2 个站点的最便宜计划)
  • 备份WPup
    它还具有带有附加插件和升级的高级/付费版本
  • 仅限付费版
  • 75$
    对于标准计划
查看
  • 备份WordPress
    它还具有带有附加插件和升级的高级/付费版本
  • 仅适用于价格约为 24 美元的付费插件
  • 仅适用于价格约为 24 美元的付费插件
  • 仅适用于价格约为 24 美元的付费插件
  • 仅适用于价格约为 24 美元的付费插件
  • 仅适用于价格约为 24 美元的付费插件
  • 60$
    个人计划
查看
  • 上升气流
    它还具有带有附加插件和升级的高级/付费版本
  • 仅适用于价格约为 15 美元的付费插件
  • 付费插件
    仅适用于价格约为 30 美元的付费插件
  • 付费插件
    仅适用于价格约为 25 美元的付费插件
  • 99$(无限数量的网站)
    对于包含所有插件的开发者计划和无限数量的站点
查看

那么,你如何解决这个问题? 成功入侵后,不要仅依靠备份来修复您的网站,因为您将丢失数据和记录,例如上次备份后发生的交易。

为了保存您的信息,在您成为成功的黑客尝试的牺牲品之前,请警惕对实际代码缺陷应用补丁。

8. 更改 WordPress 表前缀可提高您的安全性

这是一个普遍的建议。 更改 WordPress 数据库表的前缀将防止 SQL 注入攻击。 但是,这并不像将“wp_”更改为不同的值那么简单。

还没有任何证据表明这种方法可以提高您网站的安全性。 如果没有完美执行,它可能会使您的整个网站处于危险之中

更改 wordpress 数据库前缀

像这样的措施被认为是“安全剧场”,因为它们让您感觉自己正在付出很多努力来提高安全性,而实际上却收效甚微。 为了保护您的站点免受 SQL 注入攻击,它需要三管齐下的安全方法。

除了不断修补和更新插件、主题和核心之外,您还需要一个有效的 Web 应用程序防火墙。 而且,当然,请确保您正在监视您的站点是否有可疑的登录尝试或恶意软件。

9.我的网站有SSL证书,所以完全安全

关于 SSL 证书需要记住的是,它们提供的安全性纯粹是事务性的。 它只保护在您的站点和访问者之间传递的信息——例如信用卡信息和个人数据(请参阅如何向 WordPress 站点添加免费 SSL 证书)。

安装 ssl 证书 wordpress

但是,SSL 证书不保护站点本身上的文件和数据。 为了覆盖您站点的数据,拥有 Web 应用程序防火墙并确保您的插件、主题和核心文件是最新的至关重要。

10. 我的网站是安全的; 我使用 CDN 或云防火墙

内容交付网络或 CDN 以及 Cloudflare、Incapsula 或 Sucuri 等云防火墙服务通过将流量重新路由到其服务器并按防火墙规则过滤流量来保护您的站点。 如果您的流量与防火墙规则兼容,它就会进入您的站点。

虽然您可能认为这是避免暴露您网站的实际服务器位置的完美方式,但您网站的原始 IP 地址仍然可以泄露您的信息,而且即使不是不可能,也很难隐藏。

wordpress-cdn-providers-comparison
  • 内容分发网络
  • 防范最大的容量攻击
  • 完整的应用层可见性
  • 减轻对 DNS 服务器的攻击
  • 保护非网络基础设施服务
    (FTP、SMTP、VOIP 等)
  • 应用层攻击的检测和缓解
  • 即时定制和传播安全规则
  • 实时可见性和控制
  • 保护源 IP 地址免受 DDoS 攻击
  • 网络基础设施的外部 DDoS 攻击监控
  • 压缩和缩小
  • 内容和网络优化
  • 缓存静态和动态生成的内容
  • 直接从物理内存提供缓存资源
  • SSD 上的二级缓存用于实时缓存更新
  • 符合 PCI 标准的 Web 应用程序防火墙 (WAF)
  • 访问控制
  • 基于IP信誉的监控系统
  • 安全规则自助定制
  • 60 秒安全规则传播
  • 后门保护以防止恶意软件感染
  • API集成
  • 双重身份验证,防止密码被盗
  • 全局服务器负载均衡
  • 应用层本地服务器负载均衡
  • 应用层站点故障转移
  • 实时应用层健康监控
  • 应用交付规则
    (例如基于 cookie、标题等的重定向)
  • 票务系统
  • 电话支持
  • HTTP/2 支持
    HTTP/2 是 HTTP 协议的最新发展,它显着提高了网站加载速度和响应能力。
  • 数据中心
  • 原点拉
  • 推送(上传到 CDN 服务器)
  • 清除/清除所有
  • 压缩包
  • 尊重所有源服务器标头
  • 可以覆盖源服务器标头
  • 为推送的文件设置缓存头
  • 自定义 CNAME
  • HTTPS
  • 盗链保护
  • 在线聊天
  • 免费备份
  • 与 WordPress 集成
  • 价钱
incapsula-vs-maxcdn-vs-cloudflare-vs-akamai
  • 胶囊
  • 永远在线
  • 30
  • 从原点重新发送,或在边缘压缩
  • 除免费计划外,所有共享证书都是免费的。
  • 除免费计划外,所有共享证书都是免费的。
  • 独立于 WordPress 集成。 您需要更改 DNS 设置。 您将在电子邮件和 Incapsula 仪表板上获得所有说明。
  • 免费和付费计划
    免费计划包括机器人保护、访问控制、登录保护、CDN 和优化器、网站分析和社区支持。 付费 PRO 计划的起价为每月 59 美元,包括与免费计划相同的功能,以及 SSL 支持、高级性能和电子邮件支持。
胶囊
cloudflare-vs-maxcdn-vs-keycdn-vs-cdnsun
  • 云耀斑
  • 手动的
  • 86
  • 独立于 WordPress 集成。 您只需要为 CloudFlare 唱歌,然后为您的域名分配新的 DNS 服务器。 CloudFlare 从那里接手。
  • 免费和付费计划
    他们提供适用于小型网站和博客的免费基本计划以及从 20 美元到 200 美元不等的付费套餐。
CloudFlare CDN
akamai-vs-incapsula-vs-maxcdn
  • 赤舞
  • 超过 100,000
  • 从原点重新发送,或在边缘压缩
  • 要获取 Akamai 产品的定价,您需要联系他们。
赤舞
maxcdn-vs-keycdn-vs-cloudflare-vs-cdnsun
  • 最大CDN
  • MaxCDN 即将开始提供 DDOS 和 WAF
  • MaxCDN 即将开始提供 DDOS 和 WAF
  • MaxCDN 即将开始提供 DDOS 和 WAF
  • MaxCDN 即将开始提供 DDOS 和 WAF
  • MaxCDN 即将开始提供 DDOS 和 WAF
  • MaxCDN 即将开始提供 DDOS 和 WAF
  • MaxCDN 即将开始提供 DDOS 和 WAF
  • 75
  • CDN 处理 gzipping
  • 设置好拉取区后,您可以通过缓存插件集成 MaxCDN。 例如 W3 Total Cache、Super Cache 或 WP Rocket。
  • 从 $9/月到 $299/月
    还有自定义的每千兆字节定价
最大CDN
keycdn-vs-cloudflare-vs-maxcdn-vs-incapsula
  • 密钥CDN
  • 25
  • 仅当原始服务器执行 Gzip 时
  • 设置好后就可以通过缓存插件进行集成了。 例如 W3 Total Cache、Super Cache 或 WP Rocket。
  • 现收现付
    您无需购买任何套餐。 价格从 0.04 美元/GB 起
密钥CDN

这是云防火墙提供商的常见问题,简单的解决方案是在您的站点上实施端点安全措施。 如果您在数据源头保护您的数据,这是抵御黑客和其他形式攻击的最佳直接防御措施。

11. IP 封锁让黑客远离

有一些有用的在线服务可用于记录可疑登录和跟踪 IP 地址,甚至可以完全阻止这些 IP。

虽然您可能认为 IP 阻止是防止黑客访问您网站的有效方法,但黑客会不断更改 IP 并经常同时使用多个 IP 来实现其目标。

当您阻止一个 IP 地址时,他们可以简单地切换到他们已排队的下一个 IP 地址。 更糟糕的是,不正确阻止 IP 可能会导致您的网站崩溃,而修复起来可能很耗时。

12. 您只需要一个安全的用户名和密码

虽然唯一的管理员用户名和强大而复杂的密码对于您网站的适当安全至关重要,但这并不是阻止潜在黑客的万无一失的方法

用于破坏站点的一种常见策略是使用机器人以标准的“管理员”用户名循环浏览数千个常用密码。

确保您确实从 admin 更改了您的名称,在您的密码中加入了多种类型的字符,包括大写和小写字母、数字、标点符号和其他独特的符号,这些符号会使其更难破解。

但请记住,有效的用户名/密码组合并不能保护一切。 黑客可以通过其他方式攻击您的网站,包括通过过时主题或插件中的漏洞、数据泄露,甚至网络钓鱼计划。

13. 只需禁用您不使用的插件/主题

这是许多网站所有者经常犯的错误。 他们不是删除旧插件,而是禁用它们。 然而,由于缺乏更新或安全修复,即使是不活动的插件和主题也可能被利用

虽然您可以更新已禁用的插件和主题,但更好的选择是删除不需要的内容,以最大程度地降低安全风险。

WordPress 安全神话结论

WordPress 网站被黑的原因有很多。 阅读完这些 WordPress 安全神话后,优化站点的安全性可能会让人望而生畏。 判断安全措施是否有效以及什么是“安全剧场”并不总是那么容易

确保您的 WordPress 网站安全以及防止内容被盗非常重要。 虽然无法确保站点 100% 不受攻击,您可以将大量实践和预防措施纳入站点管理和维护,以最大程度地减少黑客攻击的风险并让您高枕无忧。

为了安全起见,最好安装 WordPress 安全插件,如 iThemes Security、WordFence、MalCare、Swift Security 或 Hide My WP,它们提供了大量设置和选项,您可以启用这些设置和选项来保护您的网站并实施安全层。 有关更多信息,请参阅 iThemes 安全审查、MalCare 审查、Wordfence 与 iThemes 安全、Swift 安全与隐藏我的 WP。