WordPress 主题、WordPress插件、UZIWP

主頁 » LEMP » 基于事实和统计数据的 WordPress 安全性

基于事实和统计数据的 WordPress 安全性

WordPress主题themes插件plugins开发定制

WordPress 可以通过许多不同的方式被黑客入侵 – 黑客在追踪目标方面可以非常有创意。这使得列出 WordPress 网站可能被黑客攻击的所有方式变得不可能和危险,因为它可能会提供一种错误的安全感。但是,我们可以看一个示例来说明黑客通常可能采取的入侵 WordPress 网站的过程。

由于使用它的人数众多,WordPress 是恶意黑客的常见目标。有人估计互联网上的 WordPress 网站总数为 4.55 亿。这意味着WordPress 运行着互联网上所有网站的 43.1%。

找出有多少网站被黑是很棘手的。有几个原因。众所周知,黑客事件的报道不足。除非法律强制披露事件,否则许多管理员和网站所有者都不愿意这样做。许多人不知道他们已被黑客入侵,因此无法报告。

考虑到这些警告,网络风险和隐私管理解决方案提供商IT Governance仅在 2021 年就报告了约 51 亿次(B 级)违规事件。该数字包括所有违规行为。查看另一份报告,这次是 Sophos,每天有 30,000 个网站(平均)被黑客入侵。这相当于每年有 1100 万个网站遭到黑客攻击。我们知道 43% 的网站运行 WordPress,这让我们可以做出有根据的猜测,即每年有 470 万个 WordPress 网站遭到黑客攻击。每天有近 13,000 个 WordPress 网站遭到黑客攻击。

这是一个非常大的数字——这引出了一个问题,为什么 WordPress 被黑客攻击的次数如此之多?这正是我们将在本文中看到的——基于事实和统计数据。

WordPress——它有多安全,真的吗?

WordPress 是一个开源项目,全世界有许多人积极致力于此。WordPress 社区非常强大,其中包括一些您将遇到的最聪明、最忠诚的人。有这么多人参与并忽视了开发过程,WordPress 往往非常安全。

WordPress 的优势也可能是它的垮台,当我们深入研究 WordPress 网站是如何被黑客入侵时,统计数据就会告诉我们。

WordPress 最大的优点和缺点

没有系统是完美的,这也适用于 WordPress 核心。WordPress 核心代表在进行任何更改(例如插件、主题和配置)之前的核心文件。事实上,根据Sucuri 的 WordPress 黑客统计报告, WordPress Core 占 2021 年所有漏洞的 0.58% 。这仅占所有事件的百分之一的一半多一点。

接下来是主题和插件 – 按此顺序。事实上,主题占所有漏洞的 6.61%,而插件占高达 92.81%。

Sucuri 根据主题和插件是免费的还是付费的进一步细分。虽然付费主题和插件占所有第 3 方漏洞的 8.62%,但免费的主题和插件占 91.38%。 

为什么好的插件要花钱

出现这种情况的原因有很多。插件和主题有各种形状和大小——从信誉良好的开发人员到阴暗的开发人员。事情的真相是,如果做得好,插件开发并不便宜。全职专业开发人员需要在维护良好的基础设施的同时获得报酬,测试设施也会增加费用。

这并不是说所有免费插件都会构成安全威胁——远非如此。许多开发人员将他们的空闲时间用于制作高质量的免费插件。但是,如果您想要一个经过广泛测试和支持的插件,那么高级插件可能是您的不二之选。

WordPress 漏洞——数字

已知的 WordPress 漏洞数量每年呈上升趋势。事实上,WPScan 在其数据库中添加了 1,437 个新漏洞,而前一年为 514 个。仅在 2022 年 11 月,就新增了 64 个漏洞。

考虑到我们之前讨论的漏洞分布,这些数字在查看可用的 WordPress 插件数量时是成立的。在撰写本文时,WordPress.org 存储库列出了超过 60,000 个可用的插件,并且每天都会添加更多插件。插件也可以直接从开发人员处购买或从非官方来源下载。

由于不断变化的 WordPress 漏洞情况,有针对性的攻击是例外而不是规则。随着旧漏洞得到修补并引入新漏洞,黑客会发现很难跟上。它还使有针对性的攻击非常耗时,这就是为什么大多数攻击都是自动化的。

自动攻击使用一种工具来自动扫描许多网站,并在发现漏洞时发出警报。正因为如此,大多数攻击都是不分青红皂白的,而不是出于怨恨。但是黑客使用什么工具来进行这种自动攻击呢?让我们找出来。

WordPress 网站是如何被黑客入侵的

WordPress 可以通过许多不同的方式被黑客入侵——黑客在追踪目标方面可以非常有创意。这使得列出 WordPress 网站可能被黑客攻击的所有方式变得不可能和危险,因为它可能会提供一种错误的安全感。但是,我们可以看一个示例来说明黑客通常可能采取的入侵 WordPress 网站的过程。

WPScan – 一个 WordPress 漏洞扫描器

黑客经常使用的一种常用工具称为 WPScan。它是一个免费工具,可以在线轻松获得。它是一个漏洞扫描器,可以扫描 WordPress 网站并识别已知问题和不安全的配置。使用 WPScan 启动默认的 WordPress 安全扫描时,您会立即发现:

  • WordPress 版本
  • 安装的插件,它们的版本,以及它们的安装路径
  • 已安装的主题、它们的版本以及它们的安装路径

WPScan 包括其他功能,例如 WordPress 用户枚举扫描。这些扫描识别并枚举在 WordPress 网站上注册的所有用户,让黑客深入了解您的 WordPress 的功能。有了这些信息,黑客就可以发起二次攻击,例如 WordPress 密码暴力攻击来获得对您系统的访问权限。

在这里,重要的是要注意为什么WordPress 密码安全对 WordPress 网站的整体安全性如此重要。弱密码使得暴力攻击相对容易突破。同样,确保所有帐户都使用强密码也很重要。受感染的贡献者帐户可能无法造成太大的损害,但通过在受感染的网站上提升权限,攻击者可以获得管理权限以造成严重破坏。

黑客为什么要入侵

一旦坏人设法获得了对您的 WordPress 网站的访问权限,他们就可以采取多种措施,例如:

  • 创建一个具有管理员权限的新帐户
  • 重置现有帐户的密码以确保其他用户无法重新获得对其 WordPress 的访问权限
  • 更改现有休眠帐户的角色
  • 更改内容以注入恶意代码
  • 篡改 WordPress 源代码文件以添加恶意代码,例如后门程序
  • 在 htaccess 文件中添加重定向

保护您的 WordPress 免受攻击

正如我们所见,不良行为者可以采取多种方法来破坏 WordPress 网站。因此,按理说,保护 WordPress 网站需要更全面的方法,而不是简单地确保用户拥有密码。

  • 研究——无论您是在寻找 WordPress 托管服务提供商还是新插件,请务必先花时间检查一下。论坛可以帮助您快速了解客户对产品或服务的感受,而插件应该有频繁的更新和强大的客户支持。
  • 测试– 为您的 WordPress 选择最好的插件不一定是猜谜游戏。大多数信誉良好的插件提供商都提供免费试用其高级插件。这允许您在提交之前测试它们。 

一旦你弄清楚了你的设置,你需要确保它被正确配置以获得最大的安全性。配置安全的 WordPress 不是一次性的工作,而是一个持续的过程,包括:

  • 强密码– 强密码策略可以帮助您确保暴力攻击在成功之前耗尽时间。使用大小写字母、数字和特殊字符的健康组合。此外,设置密码过期策略以确保经常更改密码。
  • 2FA – 2FA,双因素身份验证的缩写,为您的 WordPress 登录添加额外的身份验证层。使用 2FA 时,即使暴力破解成功,如果无法访问您的智能手机,黑客也无法登录。
  • 更新——让 WordPress、插件和主题始终保持最新。正如最近的调查所示,可以通过不同的方式实施 WordPress 更新。这可以帮助您在不费吹灰之力的情况下平衡管理和安全需求。
  • 监控——使用 WP 活动日志等安全插件密切关注用户和系统活动。这将帮助您尽早发现可疑行为并在造成损害之前将其关闭。

这绝不是一个详尽的清单,但它是一个很好的起点。WordPress 安全性是一个不断发展的话题,需要不断维护。关注WordPress 安全博客是了解最新信息的一种方式,也是您可以在早上喝咖啡时阅读的内容。

确保 WordPress 安全

WordPress 安全性是一个循环,而不是一个有始有终的过程。它需要持续关注和调整以应对不断变化的威胁。虽然这听起来像是工作量太大,但通常情况下,维护总比修理好。通过每月投入几个小时,您可以大大降低安全风险,帮助您确保您的网站持续发展。