WordPress的安全性一直受到不少人的关注,当我们使用WordPress建站之后,如果放任网站安全问题不加以处理,那么很有可能你的网站会中毒或者被入侵,本文会跟你详细介绍WordPress安全的那些事。
为什么WordPress的安全很重要
WordPress作为市场占有率最高的建站程序,所以也引起了很多不怀好意的人注意,如果你对安全报告感兴趣,可以查看国外安全公司SUCURI的报告,网站感染病毒会引起网站的运行缓慢、跳转到其他广告网站、插入恶意代码、网站隐藏广告内容等。
这里面任何一种情况都会影响你网站的用户体验以及在搜索引擎中的排名。不好的用户体验和排名将会直接影响你网站的流量,流量会直接影响你的转化,也就是网站收益,因此,保证WordPress的安全对我们网站来说非常重要。
如何判断自己的WordPress网站是否安全?
想要判断自己的WordPress网站是否安全,如果你有足够的经验,当你发现你网站突然间变得很慢了,并且游客访问网站的时候会出现广告,网址跳转;网站后台出现了陌生的管理员账号。那么可以100%的肯定你网站被入侵或者是感染了病毒。
如果你经验不足,也可以借助Sucuri公司的在线扫描工具来查看。
打开上面的网址之后输入你的网址,然后开始扫描,如果网站中毒了,会给出提示,就像下图这样:
从扫描结果来看,我们这个网站是“Known javascript malware”被已知的javascript恶意软件给感染了。
当你发现你WordPress网站中毒之后,可以尝试一些安全插件,例如Sucuri、Wordfence。不过按照我们的经验大概率中毒之后这些插件免费版清理不了病毒文件,你也可以联系我们获取付费支持,清理完病毒后收费。
为什么 WordPress 网站会被黑客攻击?
在我们开始介绍如何增强WordPress网站安全时,我们先来讨论一下WordPress经常受到黑客攻击的原因,WordPress容易被攻击最主要的原因还是市场占有率大,截至2024年11月,全球43.6%的网站使用WordPress(数据来源)。
一个软件用的人多,自然病毒也会变多,就像以前电脑经常中毒,现在手机的病毒反而比电脑病毒更多。
那么除了用的人多之外,还有哪些原因导致WordPress容易被攻击呢?包含以下情况:
01.过时的WordPress版本:就和电脑系统一样,不及时更新补丁电脑更加容易遭受病毒的侵害。没有将WordPress更新到最新版也容易受到已知安全漏洞的攻击。
02.不安全的密码:使用弱密码非常容易被机器破解。
03.过时的主题和插件:同01一样,不保持更新,主题和插件也容易出现漏洞被利用的情况。
04.不安全的主机:主机没有做好安全防护也容易被黑客攻破从而影响网站安全。
05.不安全的文件权限:服务器上的文件权限是一个大的安全隐患,错误的权限容易被恶意文件利用。
06.网络钓鱼攻击:点击了不明链接从而泄露了网站的登录信息。
07.不安全的数据库:数据库权限不对或者使用了弱口令,都容易导致网站被入侵。
08.缺少基础的安全防护:服务器没有做防火墙规则,网站也没有安装安全插件,会增加网站安全风险。
常见的 WordPress 病毒
网络上各种攻击很常见,除了网站,服务器也经常会被攻击,所以选择一款靠谱的托管主机比较重要,这里我们推荐两款WordPress主机:
- Hostinger – 每日备份、WordPress自动更新、漏洞扫描器、DDoS防护、恶意软件扫描、Web应用防火墙。起步价为1.95美元/月。
- SiteGround – 每日备份、Web应用防火墙、WordPress自动更新、安全插件、Staging环境、AI anti-bot,起步价格为2.99美元/月。
常见的WordPress病毒有以下类型:
Malware & Redirects
此类恶意软件被定义为恶意外部脚本注入、iframe、内联脚本。它们通常被注入JavaScript文件或位于网站的超文本标记语言代码中。
Balada Injector
此病毒的JavaScript注入通常在易受攻击插件的数据库选项中找到,或者附加到一个或多个合法的js文件中,或者注入到页面的页眉和/或页脚中,以便它们在每次页面加载时触发并将流量重定向到攻击者的最终目的地。
Sign1
Sign1恶意软件采用欺骗策略,如混淆恶意代码、基于时间的随机化动态URL生成和异或编码来逃避检测。当在受感染的网站上触发时,恶意软件会注入恶意脚本来检查访问者的来路。如果它们来自谷歌或脸书等主要网站,它会执行代码来设置跟踪cookie,并将受害者重定向到显示虚假“如果你不是机器人,请允许”提示的VexTrio诈骗网站。而如果你是网站管理员或者直接访问网站,则一切正常,看不出感染的痕迹。
SocGholish
该恶意软件负责将网站访问者重定向到恶意页面,旨在诱骗受害者安装虚假浏览器更新。JavaScript用于在受害者的网络浏览器中显示通知,并启动远程访问木马的下载,允许攻击者获得完全访问权限并远程控制受害者的计算机,包括鼠标和键盘、文件访问和网络资源。SocGholish也被认为是针对大公司的勒索软件攻击的第一阶段。
NDSW
该恶意软件分为两部分。首先,恶意JavaScript注入(NDSW或NDSJ)通常被发现在内联脚本末尾的超文本标记语言中注入,或者附加到受感染环境中每个. js文件的底部。带有NDSX有效负载的第二层(负责SocGholish虚假浏览器更新页面)由恶意PHP代理脚本提供服务,该脚本通常位于同一受感染域上的随机目录中。
DNS TXT Records
该恶意软件从攻击者控制的域的动态DNS TXT记录中获取加密的重定向URL。这些URL会导致恶意站点启动重定向链到VexTrio诈骗页面。最初,该恶意软件使用客户端JavaScript注入,但在2024年3月转向更隐秘的服务器端PHP重定向。
该恶意软件采用规避技术,如隐藏插件、伪装管理员通知和引入基于cookie的后门来更新DNS跟踪域或创建流氓管理员用户。它还通过攻击者的机器人确保持久性,一旦插件被禁用,这些机器人就会重新激活插件。
Bogus URL Shorteners
恶意代码通常被注入WordPress页面、帖子、推荐或评论中,作为包含多个虚假URL缩短器的混淆JavaScript。当用户交互后在移动浏览器上执行时,它会将访问者重定向到几层模仿谷歌搜索点击的中间网站,然后登陆显示谷歌广告的垃圾博客。
Web3 Crypto Drainers
这些恶意软件使用网络钓鱼策略,如误导弹出窗口,诱骗访问者将他们的加密货币钱包连接到恶意网站。一旦连接,恶意软件就会通过签署未经授权的交易将资产转移到攻击者的钱包来从受害者的钱包中提取资金。
SEO Spam
SEO Spam通常会利用被攻击网站的排名页面,将不需要的关键字、垃圾邮件内容、广告或恶意重定向到攻击者的网站,从而劫持被攻击者网站的SEO流量。攻击会利用链接注入、垃圾邮件评论,甚至在被黑网站上创建新帖子或页面。此外,这些攻击可以影响任何CMS上的网站,包括WordPress、Joomla、Drupal或Magento。
Hidden content
隐藏内容是一种常见的黑帽SEO技术,用于在合法网页中隐藏垃圾内容。攻击者使用这些技巧来利用网站的排名,而不会引起人们对感染的注意。
Keyword spam
攻击者使用伪装技术向搜索引擎显示与向网站访问者显示的结果完全不同的内容或URL,本质上操纵与网站原始内容无关的术语的搜索引擎排名。
Japanese spam
这些spam活动使用日语关键字和仿冒设计师品牌的垃圾内容污染网站的搜索结果。已知感染包括攻击者添加到受感染域的数千个包含日语内容的网页。
从上面这些常见的WordPress病毒来看,主要都是通过跨站点脚本 (XSS)和SQL 注入 (SQLi)攻击,接下来我们开始增强WordPress的安全性。
怎么做让WordPress更加安全?
我们可以采取下面这些措施来尽量避免网站受到常见WordPress病毒的攻击。
使用安全的 WordPress 托管
专业的WordPress主机商他们默认都针对服务器做了安全优化,并且服务器带有每日备份,基于他们的用户样本,可以更快的发现新的漏洞和威胁,并且第一时间解决安全隐患。
保持WordPress核心、主题和插件的更新
WordPress是一款开源软件,一直都在保持更新,有时候更新是提供新的功能,有时候的更新是修复安全漏洞,因此不及时更新有漏洞被利用的风险。
同时,WordPress的插件和主题也需要保持更新,避免他们的安全问题被利用。
使用复杂的密码
安装WordPress的时候默认会生成一个很复杂的密码,只要不被钓鱼攻击和故意泄露,那个密码机器人一辈子都难以攻破,而如果你使用了一个简单的密码,就有被密码探测出来的风险。
禁止文件修改
通过编辑wp-config.php文件,可以实现禁止从网站后台编辑主题和插件文件。如果需要,你可以把下面的代码添加到你网站根目录的wp-config.php文件里面。
// 禁止通过插件和主题编辑器修改文件
define('DISALLOW_FILE_EDIT', true);上面的代码添加后对主题跟插件的安装、删除、更新依然有效,而下面的代码会禁止这些操作。
// 禁止所有的文件修改操作
define('DISALLOW_FILE_MODS', true);上面的代码添加后WordPress所有的更新功能也会被禁止,你可以临时删除代码更新后重新添加,或者使用FTP等工具上传文件到服务器覆盖更新。
定期备份
备份文件可以让你网站中毒或者网站出故障的时候恢复到正常的状态,如果你服务器不支持自动备份,那么你安装一个备份插件是非常有必要的。
你可以在WordPress后台插件安装界面搜索“backup”找到很多备份插件。
更改 WordPress 默认登录页面
默认的WordPress登录地址是/wp-login.php 和 /wp-admin 结尾,因此攻击者可以很容易通过这个入口暴力破解密码,我们可以将他们重命名或者使用安全插件修改,以帮助避免暴力破解密码尝试和其他有针对性的威胁。
安装一个安全插件
我们接触到的WordPress安全插件大多都带有Web 应用程序防火墙 (WAF)功能,WAF可以过滤和阻止未经授权的流量,将恶意访问拦截在网站之外。
同时一些安全插件也可以帮助我们修改后台登录地址、文件检测、拦截恶意登录和恶意软件扫描。
你可以在WordPress后台插件安装界面搜索“safety”找到很多安全插件。
我们的安全建议
除了上面介绍的这些增强WordPress安全性的工作之外,还有一些其他的操作也可以增强网站安全,例如两步验证登录、更改数据库前缀、避免使用“admin”为用户名、禁用xml-rpc、隐藏WordPress版本、移动wp-config.php、添加验证码等。
不过真的把网上能找到的这些安全操作都做一遍是不太现实的,毕竟不是每个人都会处理这些事情,按照趣合网络工作室小伙伴们这些年来的WordPress使用经验来看,绝大多数网站只需要做到下面这几点内容,网站中毒的几率会很低。
- 使用一台靠谱的主机;
- 不要使用弱密码,避免被钓鱼泄露密码;
- 保持WordPress核心、主题和插件的更新;
- 定期备份;
- 安装一个防火墙拦截恶意访问的流量。
好了,以上就是趣合网络科技工作室为大家分享的WordPress安全内容,祝大家网站都顺顺利利,平平安安。
