7 个快速简便的 WordPress 安全漏洞修复

技术教程 2021年11月6日
1923 0

如果 WordPress 网站不容易受到黑客攻击,那就太好了.一切都是安全可靠的,开箱即用.不幸的是,WordPress 或任何网站都不是这种情况.

但是……不要害怕.

大多数安全问题不是由 WordPress 核心 漏洞引起的.这通常是因为有人没有实施简单的预防措施.

正如您将在本文中看到的,在大多数情况下,修复 WordPress 中的漏洞是简单易行的.它只需要您尽职尽责,并建立适当的系统,以确保黑客无法访问您的网站并让自己置身于家中.

另外,在一些插件的帮助下,很多漏洞都会被自动处理——其中许多漏洞是通过我们的安全插件,后卫.我们将在这篇文章中推荐他和其他插件.

本文将仔细研究:

话虽如此,让我们看看为什么 WordPress 容易受到黑客攻击以及七个常见的 WordPress 安全漏洞-以及如何修复它们.

为什么 WordPress 易受攻击

值得重申的是,容易受到黑客攻击的不仅仅是 WordPress 网站.所有网站都是.

WordPress 是迄今为止最受欢迎的网站构建器,这使得 WordPress 网站经常成为黑客和机器人,部分是因为有多少网站.

黑客也更容易定位 WordPress 漏洞.而且,这会导致频繁的 WordPress 安全问题.

好消息是 WordPress 不一定容易受到攻击.

更常见的是,WordPress 漏洞是由于管理员忽略了简单的任务(例如,保持 WordPress 最新和使用强密码).采取预防措施后,您的网站保持安全的几率会更高.

您可以做其他事情,例如拥有良好的托管、删除过时的插件等等.稍后我们将介绍所有要点.

此外,当涉及到事物的核心时,WordPress 让他们的专家为您服务.

WordPress 的安全团队由 50 多名专业人员组成.为了确保问题得到妥善处理,团队有时会与其他安全专家合作解决常见依赖项中的问题.

简而言之,未更新、未维护良好且未实施安全预防措施的网站是最容易受到攻击的网站.

那么,让我们来看看最常见的 WordPress 安全漏洞,以及如果您的网站尚未实施这些措施,如何修复它们.

七个常见的 WordPress 安全漏洞和修复

在谈到 WordPress 漏洞时,有一些常见的线索.我们将研究七个最常见的问题,并了解如何尽可能轻松地解决每个问题.

1.过时的插件或主题

WordPress 提供了各种插件和主题来满足您的需求,您可能很清楚.拥有所有可用选项真是太好了;然而,每个扩展程序都可能成为黑客的潜在入口.

当插件或主题过时或未更新时,您的网站就会容易受到攻击.

插件或主题无法维护的原因是因为开发者放弃了它或管理员没有更新它.

保持插件和主题更新至关重要.如果不这样做,过时的插件或主题很容易受到安全漏洞的影响.这主要是因为没有人对其进行监控,并且漏洞未被发现.

另外,一开始不要下载过时的插件或主题.您可以在这里查看要注意什么.

修复

您可以从 WordPress 管理面板轻松更新插件和主题.从这里开始,它将指示可用更新的数量.

The update area in WordPress admin.
在这种情况下,只有一个可用更新.

您可以从这里手动更新您的 WordPress 版本、插件和主题.此外,WordPress 的自动更新功能可以自动更新核心、插件和主题,因此您甚至不必考虑.

此外,如果您是 WPMU DEV 成员,我们自己的更新答案自动将自动为您处理更新.

自动更新您所有网站的 WordPress、主题和插件-全部来自 The Hub.看看 Automate in action 以及他如何让更新变得简单在这篇文章中.

2.您的 WordPress 未升级到最新版本

等等——你还在使用 4.3 版吗?这是个问题……

WordPress 有核心更新来修复错误和提高安全性.如果您使用的是过时的版本,则会带来不受欢迎的漏洞.仅使用最新版本的 WordPress 就可以避免很多问题.

然而,并不是每个人都这样做.在最新查看用户使用的 WordPress 版本中,只有 27.1% 的用户使用 5.6 — 最新版本在撰写本文时.

Pie graph of WordPress versions being used.
如您所见,27.1% 使用 5.6.这意味着大多数用户使用的是过时的版本.(来源:WordPress.org)

忘记更新您的 WordPress 网站很容易,尤其是当您不经常使用它或不注意时.

修复

幸运的是,升级到最新版本的 WordPress 非常容易,以确保您的网站不会受到 WordPress 核心漏洞的影响.

更新 WordPress 与更新插件和主题属于同一领域.您可以直接从管理面板中的更新下或使用自动化之类的插件执行此操作.

您也可以在此区域设置自动更新您的 WordPress 网站,让您无需担心手动更新.

3.糟糕的托管环境

您的托管环境可以在您的 WordPress 安全中发挥作用.一个很好的例子是您的主机提供的 PHP 版本.PHP 安全支持在旧版本中到期,这会给您带来漏洞,因此您的 PHP 需要保持最新.

与过时的 WordPress 版本一样,许多用户没有使用更新的 PHP.

Pie graph of what PHP version WordPress users are on.
如您所见,有很多WordPress用户使用过时的 PHP 版本.(来源:WordPress.org)

您可以从 WordPress 仪表板查看您的网站使用的 PHP 版本.

只需转到工具 > 网站健康第一.

如果建议更新您的 PHP,它会在推荐的改进中说明.如果您的 PHP 状态良好,它将显示在通过测试区域.它还指示您正在运行的 PHP 版本.

What version of PHP a WordPress is running.
如您所见,该站点使用的是 8.0.0.

如果您与我们一起托管,您可以转到托管,然后转到 The Hub 的概览区域来检查您的 PHP 版本.

Where to check your PHP version in The Hub.
这是在 8.0 上运行的.在这里,您还可以查看您拥有的 WordPress 版本.

从这里,您可以更改正在运行的 PHP 版本以确保它是最新的.

PHP 只是拥有良好托管环境的一方面.优秀的托管公司应该安全地自动更新您的 WordPress 网站,以便您始终运行最新的软件.

他们将能够更新您的 PHP、提供免费的 SSL 证书(稍后会详细介绍)、备份您的网站、24/7 全天候支持等等.

修复

很棒的托管环境.就这么简单.

例如,我们的主机提供了确保您的 WordPress 网站安全所必需的所有安全功能.详细了解我们的托管计划中包含的所有内容.另外,您可以将我们的托管与其他公司进行比较本文.

有关保持 PHP 更新的更多信息,查看此 帖子.

4.给予用户不必要的权限

允许用户担任特定角色可能存在风险,尤其是当他们有权访问密码、支付网关和编辑您的 WordPress 网站时.

WordPress 有六种不同的用户角色,可以授予不同的权限.它们是:

  • 管理员
  • 编辑
  • 作者
  • 贡献者
  • 订阅者

您可以在 WordPress 管理区域的用户区域分配和添加新角色.

在所有这些角色中,管理员是最重要的.他们可以不受限制地访问整个网站.

遗憾的是,有些网站几乎允许所有用户都拥有管理员权限.

如果有一个坏苹果(我们不是在谈论 MacBook 类型),那可能会造成严重破坏.它使他们能够做一些事情,例如创建幽灵管理员帐户和后门,以便在您删除他们的帐户时他们可以重新获得访问权限.

此外,他们还可以删除您的信息、将支付网关链接到另一个帐户等等.如果错误的人获得了控制权,当破坏您的 WordPress 时,几乎任何可以想象的事情都可能发生.

修复

除非是关键合作伙伴或非常值得信赖的个人,否则通常最好不要交出管理员访问权限.这取决于需要完全访问业务的个人的需求,分配适当的权限至关重要.

如果您经营的企业允许用户访问您的 WordPress 帐户或网站,但他们被解雇或终止,请务必限制他们的访问或删除他们的帐户.

假设您偶然发现无法进入您的帐户,并且您的管理员权限被撤销.在这种情况下,您可能需要使用 phpMyAdmin 或联系您的 CMS 管理员通过您的数据库创建一个新管理员帐户.

例如,在 WPMU DEV,我们提供 24/7 全天候支持,可以帮助您重新访问您的网站并解决问题.

情况会有所不同,因此修复方法可能是一切,从请专业人员清理一些错误代码,或者只是在发现情况后立即删除麻烦制造者.

无论如何,最好从一开始就尝试通过限制管理员访问来阻止它.

5.弱密码

几乎总是建议使用强密码,无论是 WordPress 还是任何其他在线网站.然而,弱密码仍然很常见.

黑客设计的机器人的唯一目的是找出您的登录凭据.他们在短短几分钟内尝试了数百个用户名和密码.这被称为蛮力攻击.

当您的网站上有数百次登录尝试时,可能会对您的服务器造成损害.这可能会降低您的 WordPress 网站速度,并且您的网站可能会因系统过载而崩溃.

修复

我们会将其分解为两个单独的修复.

首先,强密码很容易解决.您可以在 WordPress 管理员中的 Users > 下更改和创建密码.个人资料.

WordPress 会为您生成并推荐一个强密码.或者,您可以创建自己的.

The strong password that WordPress generates.
WordPress 生成并推荐的强密码.

WordPress 推荐的密码具有安全性所需的一切,最好使用它,或者如果您创建自己的类似密码.

当涉及到蛮力攻击时,可以使用我们的免费安全插件 Defender,以及他强大的防火墙.

Defender's Firewall dashboard.
防御者准备好用他的防火墙阻止暴力攻击.

Defender 将在登录尝试失败次数后锁定用户.

您可以更改锁定前允许登录尝试次数的阈值、锁定持续时间,并为用户创建自定义消息,让他们知道发生了什么.

防火墙还包括404 检测IP 禁止.此外,如果您真的想升级登录游戏,Defender 还具有2 因素身份验证.

阅读有关设置 Defender 防火墙的详细分步介绍在本文中.

6.使用 WordPress 的默认登录区域

WordPress 有 wp-adminwp-login 的默认 slug.黑客和机器人都知道这一点,他们会在那里尝试登录您的网站.

修复

让他们难以找到您的登录信息.

您可以通过使用 Defender 创建自定义登录区域来帮助阻止黑客和机器人找到您的登录信息.只需转到高级工具,您就可以一键开始使用.

Where you activate the masked login area.
当您要设置屏蔽登录时,Defender 已准备就绪区域.

激活后,您可以创建一个自定义 URL slug 来替换 WordPress 的默认设置.此外,您还可以选择将流量重定向到特定页面或自定义网址以避免 404.

Mask login area settings.
在此处添加您想要的任何新登录 URL slug.

拥有一个隐藏的登录区域是修复登录漏洞和避免被黑客入侵的好方法.

7.不使用 SSL/HTTPS

SSL/HTTPS 是 WordPress 网站的加密方法.它可以保护用户浏览器和您的 WordPress 托管服务器之间的连接.

成功安装SSL 证书后,应用协议(例如HTTP)将转换为HTTPS."S"的意思是"安全".

结果是让黑客更难进入您的连接.

如果没有启用 SSL/HTTPS 的网站,您的网站很容易受到黑客攻击.

修复

这只是将 SSL/HTTPS 添加到您的网站的问题.幸运的是,获取和设置 SSL/HTTPS 很容易.

大多数托管服务提供商都包含它们.例如,如果您通过我们托管,它会自动包含在您的所有网站中.我们对所有 SSL 证书使用 Let's Encrypt .此外,我们还为多站点子域提供免费的通配符 SSL.

有关 SSL 如何工作以及如何在您的 WordPress 网站上激活它的更多信息,我们在本文中提供了一些详细信息.

消除漏洞

我们已经了解了所有这些,您的 WordPress 应该不太容易受到黑客和机器人的攻击.这些简单的调整可以确保您的网站安全并顺利运行.

借助 Defender 等插件和一些良好的托管 a>,今天实施这些改进几乎毫不费力,您的 WordPress 网站的一些重大漏洞只需点击几下即可消失.

有关 WordPress 漏洞的更多信息,请查看我们关于 7 种用于扫描网站安全漏洞的免费在线工具WordPress 安全漏洞的历史及其含义的文章.

VPS1352主机测评网(www.vps1352.com)
本文链接:https://www.vps1352.com/7626.html

WordPress(893)插件(302)漏洞(8)
25

相关文章

发表回复