如何对WordPress进行安全检查及安全审计

如何对WordPress进行安全检查及安全审计插图

确保你的WordPress网站的安全并不是一劳永逸的事情。不管你有多信任你的安全插件,或者你对网站的加固有多彻底,今天的网站安全并不代表明天的网站安全。为了防止黑客入侵,你必须定期进行WordPress安全检查及审计,填补你发现的安全漏洞。

网站黑客的策略总是在不断进步,随之而来的是保持你的网站安全的预防措施。把它看成是一个循环。一个网站越安全,黑客就越要有创造性地进入它,这意味着你的网站必须变得更加安全,以此类推。之前搬主题介绍过安全的文章【WordPress网站中毒或被黑客挂马清理修复全指南】。

争取至少每三个月进行一次WordPress安全审计。每个月更好,每周(甚至每天,取决于你的网站有多敏感)是最好的。当然,如果你觉得你的网站有什么问题,那就立即进行一次安全审计。以下任何一种情况都应该引起注意。

  • 你的网站突然变得缓慢和迟钝。
  • 网站流量无缘无故地大幅下降。
  • 有新的账户、登录尝试或 “忘记密码 “请求。
  • 你没有添加的新链接出现在你的网站上。

以下步骤是保持你的网站在安全方面处于最佳状态的必做之事。有了一份检查表,你将使你的审计工作精简,而不是压倒性的。

一、关于WordPress安全审计的概述

在某一点上,几乎每个WordPress网站都会遇到某种类型的安全问题。一个常见的问题是,一个插件或主题出现了漏洞,让黑客直接进入你的网站。一旦你的网站被黑,任何数量的事情都可能发生。

  • 客户的个人数据被盗
  • 显示非法的广告和内容
  • 流量被转移到其他地方
  • WordPress数据被加密、删除或出售

这不仅仅是一个令人头痛的问题,也不仅仅是一个瘫痪了几个小时的网站。黑客可以用你的数据来勒索赎金。你的网站的信息可以在暗网上出售。谷歌可以将你的网站列入黑名单,因为它在网页上显示垃圾邮件。如果客户的信用卡信息被盗,他们可以起诉你。一旦黑客获得了你的网站的访问权,其他网站也会被感染。

WordPress的安全审计可以识别这些漏洞,这样你就可以在黑客找到他们的方法之前,立即修补它们。你将确保你目前采取的安全步骤仍然有效,你也将找出你需要更多保护的地方。

二、评估你所使用的安全插件

你的WordPress安全插件是保护你网站的最重要工具之一。确保你的安全插件仍然在以下方面发挥作用。

  • 活动日志。这可以跟踪你网站的用户,包括谁在什么时候登录,登录失败,以及网站的变化。
  • 防火墙。这将阻止机器人、黑客和试图进入你的网站的IP地址。
  • 登录尝试。高质量的安全插件将强制执行强大的密码,要求双因素认证并限制登录尝试。
  • 登录保护。这可以阻止暴力攻击,也就是黑客尝试不同的用户名和密码组合来登录。
  • 恶意软件扫描和清理。这应该每天运行,深入扫描你的网站的数据库、文件和文件夹中的恶意软件,并擦除它发现的任何东西。
  • 实时警报。如果你的网站有任何可疑的情况,该插件应立即通知你。

还没有一个安全插件吗?考虑买一个,作为你的WordPress安全审计的第一步。可以参考这里【终极WordPress安全防护指南-2021 年网站安全强化的详细操作教程

三、测试你的网站备份解决方案

如果你的网站出了什么问题,不可能或太复杂而无法修复,有一个WordPress备份意味着你可以把你的网站恢复到问题发生前的状态。然而,如果你的备份失败了,那么你就没有什么可以恢复的了,这意味着你可能被困在一个被感染或故障的网站里。理想情况下,你将使用一个备份解决方案(无论是由你的主机提供的还是你使用的插件),允许你测试你的备份,如BlogVault。你也可能想阅读我们的文章,其中有6个最好的WordPress备份插件。

四、仔细检查你的WordPress管理和FTP设置

有了WordPress,你可以让多个人登录到各种项目上工作,但这并不意味着每一个有登录资格的人都应该完全访问你的网站。而当涉及到你的FTP客户端时,允许多人访问意味着他们可以对你的网站的……嗯,一切进行修改。

当你在WordPress中添加一个新用户时,你会给他们分配一个角色(你也可以编辑他们的资料来改变他们的角色)。

如何对WordPress进行安全检查及安全审计插图1

不同的角色有不同的能力。例如,管理员可以访问网站的所有管理工具(如改变主题或安装插件),但贡献者只能编写和管理自己的文章。这里有一个关于不同角色及其能力的全面细分。

对于你的WordPress安全审计,请做以下工作。

  • 看看哪些WordPress用户有管理级别的权限。
  • 决定是否所有这些用户都需要这个级别的访问权限(以及其他拥有有限访问权限的用户是否应该成为管理员)。
  • 通过更新这些人的用户角色来降低权限和限制访问。
  • 如果你不认识仪表板上的用户,请删除它们–它们可能是由黑客创建的账户。
  • 是否有任何用户名只是 “admin”?这是一个太常见的用户名,也是一个黑客经常试图用来访问你的网站的用户名。为这个人创建一个新的用户账户,并删除旧的账户。
  • 删除那些不需要那么高权限的用户的FTP账户。

最后,如果你的网站允许会员,你要确保他们在注册时必须实际创建一个账户,而且他们的默认角色不允许管理员访问。进入设置>常规。取消勾选 “任何人都可以注册 “旁边的方框。然后,选择新用户默认角色下的适当选项。

如何对WordPress进行安全检查及安全审计插图2

五、确保WordPress是最新的

你可能会让它自动运行,但还是要仔细检查WordPress是否已经更新到最新的版本。更新不只是修补安全漏洞–它们还改善性能和增加功能。进入仪表板>更新,看看是否已经准备好了。

如何对WordPress进行安全检查及安全审计插图3

六、清理你的插件和主题

插件可以扩展你网站的功能,但它们也很容易受到攻击,特别是如果它们太久没有更新的话。可靠的开发者会一直关注他们的插件的漏洞,并发布带有补丁的更新。在你的WordPress安全更新期间,前往你的插件列表,做以下工作。

  • 停用和卸载任何你不再使用的或你不认识的插件。
  • 更新其余任何准备好更新的插件。
  • 如果你使用的插件一直没有收到开发商的更新,考虑使用另一个具有相同功能的插件–一个过时的插件太容易出现安全问题了。

即使你每个月做一次WordPress的安全审计,更经常地检查你的插件以根据需要更新它们也是一个好主意。另外,删除任何你目前不使用的或预计不需要的主题。就像插件一样,主题也会带来安全漏洞的风险,所以最好是让你的网站尽可能不存在杂乱的主题。

七、最后总结

你不会停止在你业务的其他部分工作 – 想出新的产品或服务,营销它们,销售,等等。你的网站安全也不应该有什么不同。如果你不及时发现,一个小问题可以迅速导致一个威胁业务的黑客,但如果不知道问题所在,你就不知道该实施哪些修复措施。

保持你的网站安全是一个持续的过程,有一个可用的WordPress安全审计清单,可以省去你试图记住每个月做什么的麻烦。另外,你能用安全插件自动处理的事情越多越好。如果你要做的大部分事情是反复检查插件是否仍在正常运行,那么你的WordPress安全审计清单就会小得多。我们对两个领先的安全插件Sucuri和Wordfence进行了深入的概述和评论。

 收藏 (0) 更新不易,打赏吧

您可以选择一种方式赞助本站

支付宝扫一扫赞助

微信钱包扫描赞助

除特别注明外,本站所有文章均基于CC-BY-NC-SA 4.0原创,转载请注明出处。
文章名称:《如何对WordPress进行安全检查及安全审计》
文章链接:https://www.banzhuti.com/how-to-conduct-a-wordpress-security-audit.html
分享到: 生成海报
版权免责声明

① 本站提供的资源(插件或主题)均为网上搜集,如有涉及或侵害到您的版权请立即通知我们。
② 本站所有下载文件,仅用作学习研究使用,请下载后24小时内删除,支持正版,勿用作商业用途。
③ 因代码可变性,不保证兼容所有浏览器、不保证兼容所有版本的WP、不保证兼容您安装的其他插件。
④ 本站保证所提供资源(插件或主题)的完整性,但不含授权许可、帮助文档、XML文件、PSD、后续升级等。
⑤ 由本站提供的资源对您的网站或计算机造成严重后果的本站概不负责。
⑥ 使用该资源(插件或主题)需要用户有一定代码基础知识!另本站提供汉化使用安装教程,仅供参考。
⑦ 有时可能会遇到部分字段无法汉化,同时请保留作者汉化宣传信息,谢谢!
⑧ 本站资源售价只是赞助和汉化辛苦费,收取费用仅维持本站的日常运营所需。
⑨ 如果喜欢本站资源,欢迎捐助本站开通会员享受优惠折扣,谢谢支持!
⑩ 如果网盘地址失效,请在相应资源页面下留言,我们会尽快修复下载地址。

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

WordPress主题 插件 建站 汉化

定制服务联系我们
切换注册

登录

点击按钮进行验证

忘记密码

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活