13 個 WordPress 安全神話 | 保護您的網站免受黑客攻擊!

已發表: 2019-03-23

儘管 WordPress 擁有來自全球各地的龐大用戶社區,並且是頂級內容管理平台,但這個排名第一的位置卻背上了目標,並且出現了許多 WordPress 安全神話。

您會發現很多關於保護您的網站的安全建議以及提高 WooCommerce 安全性的方法,但這導致了許多神話,它們實際上對保護您的網站沒有任何好處。 其中一些技巧甚至可能使其更容易受到攻擊。

WordPress 安全神話

讓我們來看看 13 大 WordPress 安全神話,以及您可以採取哪些措施來正確保護您的 WordPress 網站。

1. 隱藏你的 wp-admin 或 wp-login 頁面,沒有人可以找到登錄 URL

這個想法背後的邏輯是防止潛在的黑客入侵他們找不到的東西。 如果您的登錄 URL 不是標準的 WordPress /wp-admin/ URL,您是否沒有受到強力攻擊的保護? 雖然隱藏您的 wp-admin URL 可以幫助阻止一些攻擊,但它不會阻止所有攻擊。

此策略不起作用原因是,除了使用 Internet 瀏覽器的正常方式(例如 REST API 或 XML-RPC)之外,還有其他方式可以登錄您的 WordPress 站點。 這意味著即使您更改 WordPress 登錄 URL 您使用的插件或主題仍然可以鏈接到更改後的 URL。

雖然隱藏後端功能足以阻止大多數直接訪問嘗試,但那些找到您的自定義 wp-admin 或 wp-login URL 的人仍然可以重定向到您的登錄頁面。

隱藏wordpress登錄網址

這不起作用的另一個原因是完全隱藏後端會破壞您的網站。 您安裝的所有內容都假定 wp-admin 將在 URL 中。

隱藏登錄 URL 可能會模糊,但它不能完全改變你的 WordPress 登錄的實際鏈接,自定義登錄 URL 實際上會導致很多問題,因為許多主題、插件和應用程序將 wp-login.php 硬編碼到他們的基本代碼。

如果這些插件、主題等找不到鏈接,他們會發現錯誤。 更可靠的解決方案是使用雙因素身份驗證並拒絕洩露密碼。

2. 隱藏您的 WordPress 版本號和主題名稱以獲得額外保護

這種策略背後的想法是,如果黑客掌握了這些信息,他們就可以使用它來訪問您的網站。

隱藏您的 WordPress 版本信息或主題名稱不會讓您免受安全漏洞的侵害,因為有許多機器人在您網站上運行的代碼中搜索已知漏洞。

隱藏 wordpress 插件版本號

不要掩蓋這些信息,請確保您的 WordPress 安裝始終是最新的,以確保您安裝了最新的安全補丁。

3.重命名你的wp-content目錄,你就安全了

您的插件、主題和媒體上傳文件夾都包含在您網站的 wp-content 目錄中。 那裡有大量代碼和信息可供使用,因此保護這些信息當然是謹慎的做法。

但是,更改內容目錄名稱實際上不會為您的站點添加額外的保護層。 使用瀏覽器開發工具,即使您更改了wp-content名稱,也可以找到它。

重命名 wordpress 內容目錄

重命名它甚至可能導致與具有硬編碼 wp-content 目錄路徑的插件發生衝突,它們需要使用這些路徑來工作。

您應該關注 wp-content 目錄的唯一原因是它是否包含帶有可被利用的漏洞的插件或主題。 防止這種情況的最佳方法是使您的主題和插件保持最新以避免安全漏洞。

4. 黑客只發生在大型網站上

即使您的 WordPress 網站很小,流量也很低,但在保護您的網站時採取主動也很重要。

黑客不在乎網站有多大或有多忙。 任何易受攻擊的站點都可能成為惡意站點、垃圾郵件甚至比特幣挖礦的中心。 關鍵是漏洞而不是站點大小或流量水平。

您可以通過始終保持插件、主題和 WordPress 本身最新來緩解這種情況,並為 WordPress安裝受信任的安全插件。 高質量的託管和雙因素身份驗證也是阻止攻擊者的重要組成部分。

5. WordPress 不是一個安全的平台

您以前可能聽說過這種說法,但這根本不是真的。 WordPress 是當今在線的頂級內容管理系統之一,如果沒有可靠的安全措施,它就無法達到現在的水平。

最大的漏洞來自用戶,可以通過網站所有者採取的預防措施來避免。 黑客攻擊的首要原因是過時的軟件,大多數插件將定期修補以修復其代碼中的潛在漏洞。

確保始終更新您的主題和插件。 當網站遭到黑客攻擊時,這不是 WordPress 的缺陷——而是用戶的警惕性失誤導致他們容易受到攻擊

6. 定期更新始終確保您的網站安全

雖然定期更新您的插件和主題對於維護您網站的安全性至關重要,但這並不是解決您網站潛在漏洞萬能藥。 WordPress 有許多可用的插件和主題,其中很大一部分兩年或更長時間沒有更新。

wordpress 主題更新

沒有得到適當、定期維護的插件可能包含過時的功能,這些功能會減慢您的加載時間,甚至更糟的是,會破壞您的網站。

檢查以確保您的插件獲得積極的支持,以保護您免受潛在漏洞的侵害,並刪除不再獲得支持的舊插件以最大程度地降低黑客攻擊的風險。

7.備份將始終修復您的網站

備份是修復受感染網站的最常見解決方案之一。 雖然完整的站點備份(檢查最好的免費 WordPress 備份插件)允許您恢復您的站點,但它會給您留下與首先危及您的站點相同的安全漏洞。

  • 姓名
  • 免費版
  • 付費版
    隨著額外的升級和插件
  • 全站備份
    是否可以使用所有文件備份整個站點
  • 數據庫備份
    是否可以只備份數據庫
  • 備份到 Dropbox
    是否可以將備份文件保存到 Dropbox
  • 備份到 Amazon S3
    是否可以將備份文件保存到 Amazon S3
  • 備份到 Google Drive
    是否可以將備份文件保存到 Google Drive
  • 備份到 FTP
    是否可以將備份文件保存到 FTP
  • 備份到 Rackspace
    是否可以將備份文件保存到 Rackspace
  • 電子郵件通知
    創建備份時的電子郵件通知
  • 僅更改備份
    為了減少服務器資源和節省空間,只將新的更改添加到備份中
  • 計劃備份
  • 實時備份
    每當您在站點上進行更改時都會創建備份文件
  • 遷移站點
    複製站點或將其移動到新主機
  • 單個文件恢復
    從備份中恢復單個文件/文件而不是整個文件
  • 從界面恢復備份
  • 安全和惡意軟件掃描
    搜索病毒和其他感染的選項
  • 數據庫修復和優化
    優化 wordpress 數據庫的選項
  • 多站點支持
  • 付費版本的價格
    包含所有插件和功能(1-2 個站點的最便宜計劃)
  • 備份WPup
    它還具有帶有附加插件和升級的高級/付費版本
  • 僅限付費版
  • 75$
    對於標準計劃
查看
  • 備份WordPress
    它還具有帶有附加插件和升級的高級/付費版本
  • 僅適用於價格約為 24 美元的付費插件
  • 僅適用於價格約為 24 美元的付費插件
  • 僅適用於價格約為 24 美元的付費插件
  • 僅適用於價格約為 24 美元的付費插件
  • 僅適用於價格約為 24 美元的付費插件
  • 60$
    個人計劃
查看
  • 上升氣流
    它還具有帶有附加插件和升級的高級/付費版本
  • 僅適用於價格約為 15 美元的付費插件
  • 付費插件
    僅適用於價格約為 30 美元的付費插件
  • 付費插件
    僅適用於價格約為 25 美元的付費插件
  • 99$(無限數量的網站)
    對於包含所有插件的開發者計劃和無限數量的站點
查看

那麼,你如何解決這個問題? 成功入侵後,不要僅依靠備份來修復您的網站,因為您將丟失數據和記錄,例如上次備份後發生的交易。

為了保存您的信息,在您成為成功的黑客嘗試的犧牲品之前,請警惕對實際代碼缺陷應用補丁。

8. 更改 WordPress 表前綴可提高您的安全性

這是一個普遍的建議。 更改 WordPress 數據庫表的前綴將防止 SQL 注入攻擊。 但是,這並不像將“wp_”更改為不同的值那麼簡單。

還沒有任何證據表明這種方法可以提高您網站的安全性。 如果沒有完美執行,它可能會使您的整個網站處於危險之中

更改 wordpress 數據庫前綴

像這樣的措施被認為是“安全劇場”,因為它們讓您感覺自己正在付出很多努力來提高安全性,而實際上卻收效甚微。 為了保護您的站點免受 SQL 注入攻擊,它需要三管齊下的安全方法。

除了不斷修補和更新插件、主題和核心之外,您還需要一個有效的 Web 應用程序防火牆。 而且,當然,請確保您正在監視您的站點是否有可疑的登錄嘗試或惡意軟件。

9.我的網站有SSL證書,所以完全安全

關於 SSL 證書需要記住的是,它們提供的安全性純粹是事務性的。 它只保護在您的站點和訪問者之間傳遞的信息——例如信用卡信息和個人數據(請參閱如何向 WordPress 站點添加免費 SSL 證書)。

安裝 ssl 證書 wordpress

但是,SSL 證書不保護站點本身上的文件和數據。 為了覆蓋您站點的數據,擁有 Web 應用程序防火牆並確保您的插件、主題和核心文件是最新的至關重要。

10. 我的網站是安全的; 我使用 CDN 或云防火牆

內容交付網絡或 CDN 以及 Cloudflare、Incapsula 或 Sucuri 等雲防火牆服務通過將流量重新路由到其服務器並按防火牆規則過濾流量來保護您的站點。 如果您的流量與防火牆規則兼容,它就會進入您的站點。

雖然您可能認為這是避免暴露您網站的實際服務器位置的完美方式,但您網站的原始 IP 地址仍然可以洩露您的信息,而且即使不是不可能,也很難隱藏。

wordpress-cdn-providers-comparison
  • 內容分發網絡
  • 防範最大的容量攻擊
  • 完整的應用層可見性
  • 減輕對 DNS 服務器的攻擊
  • 保護非網絡基礎設施服務
    (FTP、SMTP、VOIP 等)
  • 應用層攻擊的檢測和緩解
  • 即時定制和傳播安全規則
  • 實時可見性和控制
  • 保護源 IP 地址免受 DDoS 攻擊
  • 網絡基礎設施的外部 DDoS 攻擊監控
  • 壓縮和縮小
  • 內容和網絡優化
  • 緩存靜態和動態生成的內容
  • 直接從物理內存提供緩存資源
  • SSD 上的二級緩存用於實時緩存更新
  • 符合 PCI 標準的 Web 應用程序防火牆 (WAF)
  • 訪問控制
  • 基於IP信譽的監控系統
  • 安全規則自助定制
  • 60 秒安全規則傳播
  • 後門保護以防止惡意軟件感染
  • API集成
  • 雙重身份驗證,防止密碼被盜
  • 全局服務器負載均衡
  • 應用層本地服務器負載均衡
  • 應用層站點故障轉移
  • 實時應用層健康監控
  • 應用交付規則
    (例如基於 cookie、標題等的重定向)
  • 票務系統
  • 電話支持
  • HTTP/2 支持
    HTTP/2 是 HTTP 協議的最新發展,它顯著提高了網站加載速度和響應能力。
  • 數據中心
  • 原點拉
  • 推送(上傳到 CDN 服務器)
  • 清除/清除所有
  • 壓縮包
  • 尊重所有源服務器標頭
  • 可以覆蓋源服務器標頭
  • 為推送的文件設置緩存頭
  • 自定義 CNAME
  • HTTPS
  • 盜鏈保護
  • 在線聊天
  • 免費備份
  • 與 WordPress 集成
  • 價錢
incapsula-vs-maxcdn-vs-cloudflare-vs-akamai
  • 膠囊
  • 永遠在線
  • 30
  • 從原點重新發送,或在邊緣壓縮
  • 除免費計劃外,所有共享證書都是免費的。
  • 除免費計劃外,所有共享證書都是免費的。
  • 獨立於 WordPress 集成。 您需要更改 DNS 設置。 您將在電子郵件和 Incapsula 儀表板上獲得所有說明。
  • 免費和付費計劃
    免費計劃包括機器人保護、訪問控制、登錄保護、CDN 和優化器、網站分析和社區支持。 付費 PRO 計劃的起價為每月 59 美元,包括與免費計劃相同的功能,以及 SSL 支持、高級性能和電子郵件支持。
膠囊
cloudflare-vs-maxcdn-vs-keycdn-vs-cdnsun
  • 雲耀斑
  • 手動的
  • 86
  • 獨立於 WordPress 集成。 您只需要為 CloudFlare 唱歌,然後為您的域名分配新的 DNS 服務器。 CloudFlare 從那裡接手。
  • 免費和付費計劃
    他們提供適用於小型網站和博客的免費基本計劃以及從 20 美元到 200 美元不等的付費套餐。
CloudFlare CDN
akamai-vs-incapsula-vs-maxcdn
  • 赤舞
  • 超過 100,000
  • 從原點重新發送,或在邊緣壓縮
  • 要獲取 Akamai 產品的定價,您需要聯繫他們。
赤舞
maxcdn-vs-keycdn-vs-cloudflare-vs-cdnsun
  • 最大CDN
  • MaxCDN 即將開始提供 DDOS 和 WAF
  • MaxCDN 即將開始提供 DDOS 和 WAF
  • MaxCDN 即將開始提供 DDOS 和 WAF
  • MaxCDN 即將開始提供 DDOS 和 WAF
  • MaxCDN 即將開始提供 DDOS 和 WAF
  • MaxCDN 即將開始提供 DDOS 和 WAF
  • MaxCDN 即將開始提供 DDOS 和 WAF
  • 75
  • CDN 處理 gzipping
  • 設置好拉取區後,您可以通過緩存插件集成 MaxCDN。 例如 W3 Total Cache、Super Cache 或 WP Rocket。
  • 從 $9/月到 $299/月
    還有自定義的每千兆字節定價
最大CDN
keycdn-vs-cloudflare-vs-maxcdn-vs-incapsula
  • 密鑰CDN
  • 25
  • 僅當原始服務器執行 Gzip 時
  • 設置好後就可以通過緩存插件進行集成了。 例如 W3 Total Cache、Super Cache 或 WP Rocket。
  • 現收現付
    您無需購買任何套餐。 價格從 0.04 美元/GB 起
密鑰CDN

這是雲防火牆提供商的常見問題,簡單的解決方案是在您的站點上實施端點安全措施。 如果您在數據源頭保護您的數據,這是抵禦黑客和其他形式攻擊的最佳直接防禦措施。

11. IP 封鎖讓黑客遠離

有一些有用的在線服務可用於記錄可疑登錄和跟踪 IP 地址,甚至可以完全阻止這些 IP。

雖然您可能認為 IP 阻止是防止黑客訪問您網站的有效方法,但黑客會不斷更改 IP 並經常同時從多個 IP 操作以實現其目標。

當您阻止一個 IP 地址時,他們可以簡單地切換到他們已排隊的下一個 IP 地址。 更糟糕的是,不正確阻止 IP 可能會導致您的網站崩潰,而修復起來可能很耗時。

12. 您只需要一個安全的用戶名和密碼

雖然唯一的管理員用戶名和強大而復雜的密碼對於您網站的適當安全至關重要,但這並不是阻止潛在黑客的萬無一失的方法

用於破壞站點的一種常見策略是使用機器人以標準的“管理員”用戶名循環瀏覽數千個常用密碼。

確保您確實從 admin 更改了您的名稱,在您的密碼中加入了多種類型的字符,包括大寫和小寫字母、數字、標點符號和其他獨特的符號,這些符號會使其更難破解。

但請記住,有效的用戶名/密碼組合併不能保護一切。 黑客可以通過其他方式攻擊您的網站,包括通過過時主題或插件中的漏洞、數據洩露,甚至網絡釣魚計劃。

13. 只需禁用您不使用的插件/主題

這是許多網站所有者經常犯的錯誤。 他們不是刪除舊插件,而是禁用它們。 然而,由於缺乏更新或安全修復,即使是不活動的插件和主題也可能被利用

雖然您可以更新已禁用的插件和主題,但更好的選擇是刪除不需要的內容,以最大程度地降低安全風險。

WordPress 安全神話結論

WordPress 網站被黑的原因有很多。 閱讀完這些 WordPress 安全神話後,優化站點的安全性可能會讓人望而生畏。 判斷安全措施是否有效以及什麼是“安全劇場”並不總是那麼容易

確保您的 WordPress 網站安全以及防止內容被盜非常重要。 雖然無法確保站點 100% 不受攻擊,您可以將大量實踐和預防措施納入站點管理和維護,以最大程度地減少黑客攻擊的風險並讓您高枕無憂。

為了安全起見,最好安裝 WordPress 安全插件,如 iThemes Security、WordFence、MalCare、Swift Security 或 Hide My WP,它們提供了大量設置和選項,您可以啟用這些設置和選項來保護您的網站並實施安全層。 有關更多信息,請參閱 iThemes 安全審查、MalCare 審查、Wordfence 與 iThemes 安全、Swift 安全與隱藏我的 WP。