如何不被黑客入侵 – WordPress 网站开发人员(及其客户)指南

您已经为客户建立了他们梦想中的网站.不要让黑客接管它并将其变成一场噩梦.我们的"如何不被黑客入侵"指南向您展示了如何……

黑客开始闯入保护我们免受黑客攻击的安全公司,您知道是时候认真对待安全问题了!

特别是当您考虑这样的统计数据时:

  • 每 39 秒就有一次黑客攻击.
  • 95% 的网络安全漏洞是由人为错误造成的.
  • 64% 的公司经历过基于网络的攻击.
  • 43% 的网络攻击针对的是小型企业.

来源:Cybint

是的……但并非所有黑客攻击都是通过网站完成的

没错,但事情是这样的......

大多数安全威胁都是多维的.

这意味着,无论您投入多少时间、金钱和精力来安全地构建和托管网站,都有许多因素可能威胁到网络安全并允许黑客对您的网站造成严重破坏.

看看这个流程图,看看我的意思......

Security threat factors.
安全威胁是多维的.

以上是我的精简版安全威胁分类模型,如下所示……

ScienceDirect.com-Multi-dimensional Security Threats Model.
多维威胁会影响您网站的安全.(来源:ScienceDirect.com,信息系统中的安全威胁分类.)

如上图所示,网络安全威胁可能来自:

  • 外部来源(例如未经授权的用户和自然灾害)或
  • 内部来源(例如,对站点、服务器或网络帐户具有管理员访问权限的员工).

添加人为环境技术代理以及恶意非恶意 动机和偶然非偶然意图,这些因素的任意组合构成的安全威胁进一步成倍增加.

简单来说……

网络安全非常复杂!

系统任何部分的故障都可能威胁到整个系统的安全.

即使在网络攻击者没有直接参与的情况下(例如自然灾害),这些威胁也会造成安全盲点,从而损害您的网站并导致:

  • 破坏信息——例如删除重要文件或数据.
  • 信息腐败——例如损坏的数据库表和文件.
  • 信息披露——例如将机密数据暴露给未经授权的用户或公众.
  • 盗窃服务——例如数据窃取或滥用、窃取服务器资源等.
  • 拒绝服务——例如分布式拒绝服务攻击 (DDoS).
  • 未经授权的特权提升-例如利用系统中的弱点获得站点或网络的管理员权限,
  • 非法使用——例如使用该网站攻击其他网站、传播病毒、进行诈骗、盗用身份等.

为了防止网站被黑客入侵、损坏或中断,需要考虑这个多维安全野兽中所有的威胁因素.

DevMan vs Multidimensional Security Threats.
防止安全威胁很困难,尤其是当您与多维野兽战斗!

既然我们了解了我们正在处理的问题的严重性,那么让我们缩小如何解决这个网络安全野兽的问题.

我们将重点关注如何通过解决以下问题来防止您的网站被黑客入侵:

  1. 降低网络安全风险
  2. 防御是你唯一的攻击计划
  3. 保护 95% 的漏洞免受黑客攻击

1.降低网络安全风险

许多事情都可能在您的网站之外出错,并为黑客入侵您的网站创造机会.

这些内容包括:

  • 外部服务——您从谁那里购买服务或外包服务,包括托管、插件、主题、其他网站开发者等.
  • 用于构建、保护和管理网站的流程和方法.
  • 人为漏洞-对安全相关问题的知识、理解、经验和技能水平不足.

降低来自外部服务的风险

作为 WordPress 开发者,您的主要服务提供商包括:

  • 您的托管公司和数据中心.
  • 第三方插件和主题开发者.
  • 集成的第三方平台和软件.
  • 外包开发商、承包商等

数据中心

网站托管公司通常拥有或租赁空间来放置位于世界各地的多个数据中心内的服务器.

您的托管公司的所有硬件、数据和信息处理都在数据中心内进行,因此数据中心必须认真对待物理和数字安全,以减轻攻击和损坏的所有威胁和风险,并确保安全以及存放您的网站和数据的服务器的安全性.

大多数开发者选择他们的网络托管公司,而网络托管服务商选择他们的数据中心.但是,托管公司和数据中心都有责任确保网站安全.

数据中心确保安全的职责包括管理以下事项:

  • 环境控制-电子设备产生的热量可能导致故障,因此需要在安全温度下运行.
  • 备用电源-即使主电网意外中断,服务器也需要保持运行.
  • 采用先进的安全方法——这包括闭路电视监控系统和技术,以确保硬件和人员未经批准不得进出中心,例如使用具有生物识别技术和有限安全访问的陷阱室、单入口门(一次只允许一个人进入)、封闭、保护和隔离带有敏感数据和设备的服务器的服务器机箱、金属探测器等.
  • 保护设施——这包括雇佣警卫和安装防护措施,如防弹玻璃、高冲击力防撞屏障、防风雨、灭火系统等.

您的托管公司

专注于服务器速度和可靠性等方面,或根据计划定价、联属网络营销佣金和经销商激励推荐公司而不优先考虑安全性可能会使您客户的网站面临风险.

不应忽视性能因素和经济效益,但评估主机对安全的承诺也很重要.

2016 年 95% 的泄露记录来自三个行业,技术是其中之一(政府和零售业是其他).在其记录中存储大量个人身份信息 (PII) 的公司是非常受欢迎的目标.因此,了解您的托管公司如何存储数据以及采取哪些主动和被动安全措施来保护数据非常重要.

某些托管选项比其他托管选项更安全.我们编写了关于不同托管类型的详细指南,包括哪些类型更安全以及如何选择适合您需求的托管类型. >

了解主机基础架构中的网络冗余也很重要.如果网络服务器或路由器出现故障,或者某个组件遭到破坏和入侵,会发生什么情况?您的网站如何隔离并保护其免受安全漏洞导致的网络事件和服务中断的影响?

在评估主机时,请了解其托管管理和服务器中内置了哪些安全措施.您的计划是否包括主动阻止恶意代码进入网络的服务器端防火墙(例如 WAF)、用于加密和传输数据的安全功能,例如 SSLSFTPCDN ?

文件扫描、专用 IP、双因素身份验证 (2FA)、夜间备份 和一键恢复以及安全的 暂存区 用于开发客户端站点、执行维护更新以及安装或测试新应用程序,而不会使您的网站易受攻击和受到攻击?

此外,如果尽管采取了所有安全措施,您的网站最终还是遭到了入侵,您的网络托管服务商会提供什么样的安全保证和支持?

例如,在 WPMU DEV,我们不仅提供价格合理、速度极快且安全托管的 WordPress 托管,而且我们还为会员提供专门针对所有 WordPress 相关问题(包括安全性)的 24×7 服务台,我们将帮助您清理被黑网站.我们还提供涵盖我们所有托管安全功能的大量文档.

如果您真的很想保护您的网站免受黑客攻击,那么您应该期望托管服务提供商对网络安全做出全面承诺.

降低来自第三方来源的风险

尽管 WordPress 是一个安全的平台,但很难避免使用第三方插件、主题以及与其他平台的集成.

第三方解决方案中的任何漏洞都可能为黑客打开大门并导致网站遭到入侵.

为了最大限度地降低使用第三方解决方案时的风险,仅从可信来源下载插件(以及主题),在您的网站集成中使用信誉良好的第三方平台,并始终让您的 WordPress 网站保持最新.

在安装任何第三方解决方案之前检查的一个很好的资源是国家漏洞数据库.

例如,在撰写本文时,我在"WordPress"上快速搜索了数据库,弹出了 3,000 多个结果,其中列出了 WordPress 插件和主题中的许多漏洞(我还搜索了"WordPress 主题"提出了 180 多个主题漏洞).

National Vulnerability Database
在国家漏洞数据库中搜索插件、主题、和第三方软件.

(作为一个兴趣点,当我们在大约十年前写一篇关于搜索 WordPress 漏洞的文章时,我们查看了之前八年的数据并发现针对 WordPress 核心报告的安全漏洞呈下降趋势,但针对 3rd 方插件报告的问题呈上升趋势.我们计划在不久的将来重新审视这一点,我们将在此处报告我们的发现,所以请注意这个空间!)

降低内部流程的风险

为了简单起见,让我们将每个人分成两组:

  1. 您将服务外包给的人(例如其他网络开发人员、远程工作者等)
  2. 您向其提供服务的人(例如您的客户)——我们稍后会介绍这个群体.

假设您拥有一家网络开发机构,并且您雇用/外包其他人.您企业中的每个人都是潜在的安全威胁.您的合作伙伴、员工、外包承包商、远程工作人员……以及——从您客户的角度来看——甚至是您!

例如:

  • 您将技术工作外包给拥有如此高水平技能的人,以至于其他人无法理解或弄清楚他们在做什么.
  • 您团队中可以访问网络的人不小心使用了密码或电子邮件附件.
  • 可以访问您的系统和数据的远程工作人员正在不安全的 Wi-Fi 位置工作.

在介绍部分,我指出:

  • 64% 的公司经历过基于网络的攻击.
  • 43% 的网络攻击针对的是小型企业.

计算一下,您很快就会意识到您的一些客户肯定会遇到网络攻击.

例如,如果您正在管理 10 个小型企业客户网站,那么这些网站中的 2 或 3 个很有可能成为黑客的目标(10 x 64% = 6.4 个网站 x 43% = 2.75 个网站).

为了降低您的企业对客户网站宕机负责的可能性,制定和实施涵盖以下领域的内部安全政策和指南非常重要:

  • 密码和帐户 – 这包括指定密码应多久更改一次、设置过期密码和帐户、撤销离职或被终止员工的访问权限、存档、存储和删除陈旧数据和敏感信息等.
  • 使用 BYOD(自带设备)设备 – 您是否允许员工、外包人员或远程工作人员使用自己的手机和笔记本电脑?如果是这样,您可以实施哪些安全措施来安全地存储和处理他们设备上的专有数据和客户信息?如果他们从您的系统或服务器中意外或恶意删除重要数据,会发生什么情况?您是否制定了移动设备管理 (MDM) 政策,让您可以在他们的设备被盗或丢失时远程清除他们的设备?
  • 培训 – 如果您雇用远程工作者,请确保他们知道如何安全地登录和远程工作.此外,考虑为员工实施培训计划,尤其是那些容易受到网络攻击的员工,并为他们提供发展预防和防御技能以及了解安全最佳做法的选项.
  • 定期审查和评估 – 就像软件一样,您的业务安全也需要定期审查、修订和更新.对您的内部安全实践和政策进行定期评估,以确定并修补任何弱点.

有关在您的业务或工作环境中实施安全实践的其他提示,请查看这个很棒的 网络安全提示.

既然我们已经了解了可以让黑客进入您的企业的威胁,那么让我们来看看如何保护自己免受可以让黑客进入您网站的威胁.

2.防御是你唯一的进攻计划

您已竭尽全力降低来自外部威胁的安全风险.您选择了一个认真对待安全性并从比诺克斯堡更安全的数据中心运行服务器的网络主机.您只安装来自可靠和可信来源的第三方插件和主题,并与已建立的第三方平台集成.您的工作场所已实施最佳安全做法.

现在剩下的就是为您的客户构建出色的 WordPress 网站,并确保他们成为黑客攻不破的堡垒.

考虑来自安全感,一家领先的 IT 安全公司,关注网络安全军备竞赛的升级:

正如技术进步帮助安全专业人员更有效地识别和消除潜在威胁一样,它还为黑客提供了进行更大规模、更复杂的攻击的工具.这些攻击的发展速度超过了我们的防御能力.

网络安全不仅仅是好人与坏人的典型案例,它也是好人训练坏人成为更坏人的典型案例!

作为专注于构建网站而不是"网络安全武器"的网络开发人员,您能做的最好的事情就是尽力跟上并保护自己.

您对与安全相关的问题了解和了解的越多,就越能保护网站免受网络攻击、黑客、恶意机器人等的侵害.

为了帮助您解决这个问题,我们撰写了许多关于 WordPress 安全性以及如何强化 WordPress 网站的深入文章和分步教程.

因此,在本节中,我将只为您提供一系列文章和教程,这些文章和教程将使您成为 WordPress 安全专家.

如果您是 WordPress 新开发者

如果您刚开始成为网络开发人员,我们建议您查看我们的一些与安全相关的托管教程,例如了解服务器文件权限SSLWAF.

此外,请确保您了解为什么黑客想要针对您的 WordPress 网站如何扫描 WordPress 网站是否存在恶意软件.

如果您的客户预算很少,请查看如何免费保护 WordPress 网站.

我们还建议您将这些快速简便的 WordPress 安全漏洞修复放入您的工具带中.

一旦您掌握了基础知识,就该……

成为 WordPress 安全专家

首先查看我们的WordPress 安全终极指南.

接下来,查看我们的用于保护 WordPress 网站的检查清单用于制作您的网站的检查清单防黑客(带有可下载的 PDF,因此您可以勾选框),以及我们的 WordPress 安全资源指南.

此外,查看我们的WordPress 安全专家访谈,了解有关 WordPress 安全专家如何留住客户的一些重要提示' 网站安全并免受黑客和恶意威胁的侵害.

作为发展您的安全专业知识的一部分,请确保还熟悉我们的DDos 保护指南如何测试您的 WordPress 网站安全.

如果您的网站被黑了,请务必转至此帖子并了解如何清理被黑的 WordPress 网站.

使用 Defender 实现智能 WordPress 安全

如前所述,

"每 39 秒就有一次黑客攻击."

如果您不相信这些统计数据,您可以通过安装我们的 WordPress 安全插件自行确认,后卫.

每当有人试图入侵您的网站时,Defender 都会发出通知并记录.

Defender Lockout Notification
黑客不断敲门,Defender 不断拦截.

Defender 在各个级别阻止黑客,并为您的网站增加保护层.只需点击几下,您的 WordPress 网站即可免受暴力攻击、SQL 注入、跨站点脚本 XSS 以及许多其他 WordPress 漏洞和黑客攻击.

Defender 还运行恶意软件扫描和防病毒扫描,并提供 IP 阻止、防火墙、活动日志、安全日志和双因素身份验证登录安全性.

这只是插件的免费版本.

查看我们的Defender WordPress 安全插件教程,了解此插件所做的一切,并了解如何在您客户的站点上轻松配置它(提示:我们的 WordPress 管理控制台 The Hub 使在多个 WordPress 站点上安装和配置 Defender 变得更加容易和快捷.) >

3.保护 95% 的漏洞免受黑客攻击

正如我之前所说,

"95% 的网络安全漏洞是由人为错误造成的."

选择超级安全的网络主机不是问题.(您可以通过单击此处来完成此操作.)

在您的企业中实施内部安全流程需要一些努力,但这也不是问题.

加强 WordPress 安全性……也不是问题.您可以在此网站上找到使黑客无法破解 WordPress 所需的一切.

在防止黑客方面的主要挑战是如何确保人们不会犯错误,当"犯错是人为"时.

如果您能解决这个问题,您就可以保护您的客户免受网络上 95% 的安全漏洞的侵害,并使黑客永久失业.;)

在此之前,您只需要对人保持耐心.帮助他们实施良好的安全做法并养成更好的在线安全习惯,从密码安全、避免电子邮件网络钓鱼诈骗等基本知识开始.

此外,鼓励您的客户在他们的工作场所实施良好的安全政策,并就如何更好地了解威胁和降低安全风险的方法对他们进行尽可能最好的培训和教育.

Netflix Scam Email
世界上所有的WordPress安全加固都停不下来如果您的客户陷入电子邮件网络钓鱼骗局,您就会遭到黑客攻击.

请记住,最终,无论我们做什么,我们都是人,我们都会在某些时候犯错.

此外,世界上每个人都有问题.成瘾、怨恨、对工作的不满、贪婪、机会主义和心怀不满的个性会在工作环境中随时表现出来,这些也可能成为潜在的安全威胁.

因此,除非您的客户是没有问题的完美人,否则您仍有 95% 的安全漏洞需要处理.

防止被黑客入侵的最佳方法

网络安全威胁是多方面的,网络安全是一场不断升级的军备竞赛,因此黑客总会有新的机会在多个层面上识别弱点和漏洞.

为了不被黑客入侵,你能做的最好的事情就是尽力而为.

尽可能降低风险,在各个级别实施最佳安全实践,不断学习和提高您的网络安全知识,保持警惕并帮助您的客户也这样做.

如果您需要任何与 WordPress 相关的专家帮助,请联系我们的24/7 支持团队.我们是与您并肩作战的好人.

1
订阅评论
提醒
0 评论
内联反馈
查看所有评论