有人指出 WordPress 的安全问题
但 WordPress 是互联网上最受欢迎的 CMS。它也是最容易受到黑客攻击的。例如,2020 年,Wordfence 报告称,每秒针对 WordPress 的攻击超过 2,800 次。
网络攻击浪费时间、精力和金钱。它们还会威胁您的权威和声誉,尤其是当 手机号码列表 您的网站访问者受到攻击时。虽然无法量化您的网站可能面临的日常威胁数量,但如果您成为其中一种威胁的受害者,识别和了解 WordPress 特定问题至关重要。
本文将介绍一些最常见的 WordPress 安全和漏洞问题、它们影响 WordPress 网站的原因,以及您可以采取哪些措施来确保不受影响。
立即下载:免费网站安全检查表
十三
过时的核心软件
过时的主题和插件
恶意软件
信用卡盗刷
未经授权的登录
未定义的用户角色
结构化查询语言 (SQL) 注入
搜索引擎优化 (SEO) 垃圾邮件
跨站点脚本
拒绝服务攻击
网络钓鱼
供应链攻击
热链接
跨站请求伪造 (CSRF)
1. 核心软件过时
使用网站建设平台而不是从头开始构建网站的优势在于,开发人员将不断增强平台的功能和安全性,以提供无缝的用户体验。
WordPress 开发人员每三个月左右推出一次更新。强烈建议所有 WordPress 用户在更新可用时手动或通过启用自动更新来下载这些更新。每个版本通常都包含改进、错误修复和对更关键的安全漏洞的修复。因此,更新核心文件除了安全性之外,还可以帮助改善网站的功能、性能和兼容性。
尽管具有自动更新功能,但 Santoyo 表示,根据 Sucuri 的数据库,“50.3% 的受感染 WordPress 网站已过时”。
这个比例确实比其他 CMS 好一些,比如 PrestaShop、vBulletin 和 Typo3,这些 CMS 中 100% 的受感染网站运行在过时的软件上。“[但] 值得注意的是,50% 的 WordPress 网站比 100% 的 Typo3 和其他平台的网站还要多。因此,仍有相当一部分 WordPress 网站运行在过时的软件上,”Santoyo 说。图表显示,2021 年感染时,超过一半的 WordPress 网站已过期,但与其他 CMS 平台相比,该比例最低
图片来源
WordPress 网站为何容易受到攻击?
过时的核心 WP 软件使网站容易受到攻击,因为更新通常旨在解决关键的安全问题。不下载更新的用户容易受到黑客攻击。例如,WordPress 版本 5.8.1修复了三个主要漏洞,包括Gutenberg 块编辑器中的跨站点脚本 (XSS) 漏洞。
如果您的软件已过时,您也无法更新您的主题和插件(我们将在下面介绍),并且您的网站更容易受到此列表中的许多安全威胁。
您可以做什么
WordPress 为每个新版本的 WordPress 提供自动更新。您可以在仪表板中启用这些功能,以确保核心文件保持最新状态。如果您不这样做,那么您的网站将容易受到已知威胁和已知威胁的攻击。
手动和自动更新 WordPress 的 5 种方法
图片来源
2. 过时的主题和插件
WordPress 的一大吸引力在于其可定制性。开发人员创建了数百个独特的主题和插件,WordPress 网站所有者可以使用它们来定制他们的网站。
但是,这些扩展需要网站所有者采取适当的安全预防措施。如上所述,过时的核心软件可能会使您的网站面临安全风险,过时的主题和插件也是如此。
事实上,根据WPScan 的数据,其数据库中大约 97% 的漏洞是插件和主题,只有 4% 是核心软件。
Sucuri Security 在其数据库中也发现了类似的结果。Santoyo 在 WCEU 2022 会议上表示:“2021 年,易受攻击的插件和扩展造成的危害远比网站上的过时核心造成的危害要多得多。”
WordPress 网站为何容易受到攻击?
主题和插件开发人员经常发布功能增强和附加安全措施的更新。然而,并非所有开发人员都会这样做。
如果他们不这样做,使用这些资源的网站就会容易受到黑客的攻击,黑客可以使用过时的工具作为切入点。例如,假设 WordPress 发布了包含新安全补丁的更新,但开发人员尚未更新其主题以兼容新要求。在这种情况下,黑客可以利用主题的漏洞并控制网站。
此外,如果开发人员确实发布了更新,未能安装更新的网站所有者可能会使其网站更容易受到攻击。
您可以做什么
桑托约在 WCEU 会议上强调说:“无论谁全面管理网站,都应该不断确保其软件库存是最新的。”
更新有助于提高 WordPress 主题的安全性并保护您的网站。当插件和主题有更新可用时,您可以手动安装它们,也可以使用插件在它们上线时自动安装它们。
3.恶意软件
恶意软件是一个宽泛的术语,包括任何恶意软件(因此称为“恶意软件”)。黑客可以将恶意软件文件放入合法网站文件中,或在现有文件中植入代码,以窃取网站及其访问者的信息。恶意软件还可能尝试通过“后门”文件进行未经授权的登录或造成一般性破坏。
