安全已成為Web開發人員和網站所有者的一個重要關注點,這並不小令人驚訝。隨著網際網路的流行併成為交流、研究和購物的新首選方式,網站安全檢查對於阻止惡意軟體和垃圾郵件的傳播至關重要。
無論您經營的是小型個人部落格還是大型跨國線上商店,被黑客入侵的威脅始終存在。有些人會破壞您的網站並在其中嵌入惡意軟體,試圖竊取您或您客戶的資料,並刪除您伺服器上的重要內容。您需要保護自己和您的敏感資訊。
讓我們弄清楚您的網站現在的安全程度。我們還將提供一些有關刪除惡意軟體作者利用的低掛水果惡意軟體的技巧。 WordPress開箱即用是安全的,但要完全修補它需要一些工作。
網站安全檢查:為什麼重要?
您可能認為您的網站很小而且不重要,以至於沒有人會費心去定位它。或者,也許您以前從未考慮過安全問題,並認為這並不重要。
這樣想就是為什麼在 2013 年,超過70%的WordPress安裝容易受到攻擊。其中許多攻擊是由於過時的軟體造成的——因為大多數人要麼不夠了解,要麼不太關心保護他們的網站,這導致了大量黑客攻擊WordPress安裝。
2021年過時與更新的CMS佔比 via sucuri
那麼,如果您的網站遭遇意外入侵,會發生什麼?這不僅僅是通過更改密碼輕鬆解決的簡單煩惱。
- 您的網站可能已注入程式碼,導致訪問者感染自己的惡意軟體,而惡意軟體可能極難定位和刪除。
- 您的關鍵頁面可能被汙損、空白或塞滿了指向非法站點的連結。
- 它可能會導致刪除部落格文章和頁面等內容。
- 屬於您、您的使用者或您的客戶的敏感資訊(例如登入資訊或信用卡資訊)可能會被盜並線上出售。
- 攻擊可能會傳播到您伺服器上的其他網站。
- 如果Google在您的網站上檢測到任何惡意軟體,它將阻止其訪問並將其從搜尋結果中刪除,從而破壞您的搜尋引擎優化 (SEO) 工作。
- 可以更改管理員帳戶的使用者名稱和密碼,從而完全阻止您訪問後端。
如果您經營電子商務商店,被黑網站可能會造成巨大損失。雖然您可能會說您的網站無關緊要,但並非所有攻擊都是有針對性的。許多WordPress攻擊都是自動化的——機器人會探測您的網站是否存在漏洞並在沒有人工干預的情況下發起攻擊。這就是為什麼您無論如何都需要採取措施保護您的網站的原因。
為什麼WordPress會被黑客入侵?
黑客攻擊很普遍,但黑客利用哪些最常見的漏洞入侵您的網站?
您可能認為進入網站是一個具有挑戰性的過程,需要數天或數週的工作以及有關計算機、編碼和伺服器的豐富知識。這種情況可能適用於有針對性的嘗試突破大型、受良好保護的站點的防禦,但對於小型WordPress域,情況就大不相同了。
對WordPress的絕大多數攻擊都是成功的,因為人們使用易於猜測的密碼並且沒有更新他們的主題和外掛。黑客使用自動化程式闖入大多數此類站點。
密碼破解是最簡單的黑客攻擊形式,但它很常見,因為它有效。許多人將他們的WordPress登入名保留在預設的“管理員”上,消除了一半的猜測,然後使用一個簡單的、可猜測的密碼。如果失敗,黑客將利用流行外掛或過時WordPress版本中的常見漏洞。這就是為什麼保持一切更新如此重要的原因。
有許多更復雜、更復雜的方法可以闖入網站。儘管如此,大多數WordPress攻擊都利用了不安全的密碼和過時的軟體,這使得進入網站變得非常容易。
如何執行網站安全檢查
保護您的網站的第一步:確定您的網站已經有多安全。您的後端是否有任何明顯的漏洞需要立即修補,或者您現在可以進行任何簡單的修復?
使用線上工具
檢查您的網站是否存在惡意軟體和漏洞的一種快速簡便的方法是使用線上掃描器。這些遠端掃描您的站點並確定常見問題。它非常方便,因為它不需要任何軟體或外掛,只需幾秒鐘。
網上有數十種掃描器可供選擇,我們將在下面的工具部分列出其他一些掃描器,但現在,讓我們選擇一種易於使用的流行掃描工具:Sucuri SiteCheck。
Sucuri SiteCheck
此工具是一個不錯的選擇,因為您可以安裝Sucuri外掛並立即修復它檢測到的任何問題(參考閱讀:WordPress安全外掛Sucuri介紹及使用教學)。
掃描您的網站後,Sucuri將根據阻止列表對其進行檢查,尋找明顯的問題,例如注入的垃圾郵件或過時的軟體,並簡要掃描它可以訪問的任何程式碼以查詢惡意軟體。它還提供了一些建議,以加強您的網站免受攻擊。
使用Sucuri外掛掃描網站
此類工具是檢測隱藏惡意軟體和其他問題的絕佳起點。
使用WordPress外掛掃描您的網站
雖然線上掃描程式執行良好,但最好安裝一個外掛,該外掛能夠深入挖掘程式碼的根源並找出漏洞或難以檢測的惡意軟體。
我們已經提到了 Sucuri 作為一種選擇。還有兩個更受歡迎的安全外掛:All in One WP Security & Firewall,以及外掛庫中下載最多的Wordfence安全外掛(參考閱讀:WordPress安全外掛WordFence介紹及使用教學)。
一旦您安裝了您選擇的外掛,它可能會指示您立即執行掃描。這些外掛相對於遠端掃描器的優勢在於它們可以刪除惡意軟體並自動進行更改。
留心莫名的修改
如果您懷疑或知道您的網站已感染了惡意軟體,那麼查明來源有時可能具有挑戰性。以下是您可能會注意到的一些無法解釋的變化,以及黑客通常會被吸引的檔案:
- 突然連結到您自己沒有新增的奇怪網站
- 您未建立的新文章和頁面,或現有頁面的內容突然更改
- 對您未進行的設定的更改
- 一個新使用者,尤其是具有高階許可權的使用者,您沒有新增
- 您未安裝的外掛或主題
- 惡意軟體通常會將惡意程式碼注入您的檔案中。檢查外掛和主題檔案、 wp-content/uploads資料夾、位於錯誤目錄中的 WordPress 核心檔案、 wp-config.php和.htaccess 。在進行任何敏感更改之前,您應該備份您的站點並瞭解程式碼。
如果您使用FTP連線到您的站點,您可以按最近修改的檔案對不應該存在的程式碼進行排序。
如果您的站點定期感染惡意軟體,而您在檔案中找不到任何原因,則問題可能出在您的伺服器或伺服器上的其他站點上。
及時更新
正如我們已經提到的,過時的軟體是迄今為止WordPress中最常見的感染媒介。如果您只能做一件事來確保網站安全,那麼應該保持WordPress更新。
檢查站點上所有軟體狀態的最簡單方法是轉到儀表板>更新,如果您的核心、主題或外掛已過期,它會提醒您。
WordPress更新
由於WordPress從5.5版開始執行自動更新,因此除非您擁有過時的WordPress版本,否則任何內容都不應過時。如果不這樣做,您可以從此螢幕更新所有內容。如果您知道有新版本的WordPress,但沒有顯示,請單擊當前版本下方的再次檢查按鈕。您還可以檢查您的外掛>已安裝外掛或外觀>主題頁面以獲取更新。
提醒:使PHP保持最新狀態非常重要,尤其是當您使用7.3之前的版本時,因為它可能存在嚴重的安全漏洞。
保護帳戶和密碼
您的主帳戶上的弱密碼使任何人都可以通過暴力破解程式輕鬆闖入您的站點,從而為他們提供管理員訪問許可權和更改任何內容的能力。
雖然複雜的密碼很難記住,使登入變得不那麼方便,但必須從黑客中恢復您的網站更加不方便。使用更安全的密碼絕對值得,即使您必須將其寫下來。
您的密碼應混合使用大小寫字母、數字和符號。最好不要基於字典中的單詞或個人的、可猜測的資訊(例如您的地址或家庭成員的姓名)。
在最好的情況下,您的密碼將是一長串亂七八糟的隨機字元。我們強烈建議您使用密碼管理器。使用像1Password或LastPass這樣的網站來生成一個安全的、不可猜測的密碼。
使用LastPass生成安全密碼
您可以通過轉到“使用者”>“所有使用者”或直接“使用者”>“個人資料”來更新WordPress中的密碼和電子郵件。向下滾動並在聯絡資訊下找到電子郵件,在帳戶管理下找到新密碼。
在WordPress中設定新密碼
在“使用者”頁面上時,檢視所有使用者並確保其中沒有您不認識或擁有不當許可權的使用者。您應該立即刪除任何具有管理員許可權的身份不明的使用者。
我們還鼓勵您檢視有關限制使用者許可權的指南,以便只有您的帳戶才能更改您網站上的敏感檔案。
檢查您的SSL證書
如果您的SSL證書已過期,您通常會立即知道;像谷歌瀏覽器這樣的瀏覽器會阻止訪問您的網站,併發出有關證書過期的巨大警告。如果您不確定或已經收到此錯誤,請檢查您的SSL證書以檢視它是否是最新版本以及您是否使用最新版本的SSL/TLS 。
當您訪問網站時,您會在大多數瀏覽器的位址列中看到一個鎖定圖示。如果您的證書已過期,則此鎖可能為紅色或有斜線穿過。
單擊鎖定圖示,然後再次單擊以檢視證書資訊,包括其到期日期。
檢查網站的SSL證書
您還可以使用SSL證書檢查器掃描您的站點,以確保您的證書未過期,並且您的SSL協議中不存在漏洞。
常見漏洞
許多 WordPress 網站都充滿了用於攻擊的微小載體,這些載體看似無害,但可以提供比您想共享的更多資訊。
在您的前端有一個可見的WordPress版本可以告訴黑客您網站上存在哪些漏洞。特別是如果您使用的是過時版本的WordPress,您可能希望隱藏此資訊。您會注意到後端中的外觀>主題編輯器和外掛>外掛編輯器下的檔案編輯器。
向主題編輯器新增程式碼
雖然這些工具非常方便,但它也適合任何入侵您網站以破壞某些內容的人,因此您可能希望將其關閉。您可以通過將此函式新增到wp-config.php來實現:
define( 'DISALLOW_FILE_EDIT', true );
SQL隱碼攻擊是侵入站點的常見方式。如果您有任何表單或其他使用者輸入,請限制使用特殊字元並只允許上傳安全、常見的檔案型別。最後,為了提供額外的保護層,您可以使用密碼保護檔案目錄。
如何保護您的網站:提示和工具
如果您的網站有惡意軟體,一個好的安全外掛應該可以消除它。我們已經涵蓋了您需要檢查的一些漏洞。
我們還有其他一些快速提示,可用於保護您的網站並防止感染髮生。您可以在幾分鐘內應用這些技巧中的大部分,因此即使您不熟悉 WordPress 和網路安全,它們也應該很容易設定。
選擇安全主機
當黑客探索進入您網站的方法時,他們通常會轉向伺服器尋找漏洞。那裡有很多便宜的託管服務,但他們並不總是投資最安全的伺服器。
共享主機可能是感染的載體。如果一個網站感染了惡意軟體,它可能會傳播到伺服器上的每個站點。所以你最終可能會得到一個充滿病毒和SEO垃圾郵件的網站,這甚至不是你的錯。
這就是為什麼進行研究並選擇關心安全性並投資於安全伺服器的主機至關重要的原因。您仍然需要努力保護您的網站,但在伺服器級別,您的資料是安全的。
開啟二步驗證 (2FA)
兩步驗證(也稱為兩步驗證或 2FA)新增了另一個登入步驟。除了使用者名稱和密碼,您或任何冒充您的人還需要另一條資訊:唯一的附加程式碼。
它可能是傳送到您手機的數字程式碼,它可以通過蠻力使您的WordPress帳戶幾乎無法破解。或者,它可能需要電子郵件驗證或只有您知道的一條資訊。
雖然沒有啟用二步認證身份驗證的內建方法,但許多外掛將功能新增到WordPress。 之前提到的Wordfence安全外掛內建了 2FA。您還可以嘗試其他網站安全工具,例如Two-Factor外掛實現郵件身份認證或安裝Duo外掛通過手機驗證碼二步認證。
Two-Factor外掛
每天備份
備份您的站點並不能避免人們試圖闖入,但如果確實發生了某些事情,備份將是無價之寶。這可能意味著損失數週甚至數年的工作與簡單地從黑客攻擊之前恢復到備份之間的區別。
如果您安裝了寶塔面板,你可以輕鬆地設定自動備份任務。此外,您每週可以建立五個手動備份和一個可下載的備份,並且有可選的附加元件可以每小時備份或匯出到雲。
UpdraftPlus等外掛也可以提供幫助。最好選擇至少每天備份的服務,以最大程度地減少資料丟失。
使用Web應用程式防火牆
Web應用程式防火牆或WAF使用嚴格的規則來過濾傳入流量,將已知與黑客攻擊或DDoS攻擊相關聯的IP列入黑名單。它可以防止許多攻擊到達您的伺服器。雖然您可以在伺服器級別應用WAF,但購買基於雲的服務最容易,例如Cloudflare或Sucuri提供的服務。
通過SSH或SFTP連線
有時您需要使用FTP連線到您的站點以在那裡新增或修改檔案。在FTP上使用SFTP總是更好;區別很簡單:SFTP是安全的,而FTP不是。
使用FTP,您的資料不會被加密。如果有人設法攔截您和您的伺服器之間的連線,他們可以看到從您的FTP登入憑據到您上傳的任何檔案的所有內容。始終使用SFTP連線。
您還可以考慮使用SSH訪問,它允許您連線到命令提示符並更直接地管理您的站點。它安全、可靠,並且可以遠端處理簡單的任務。
防止DDoS攻擊
DDoS攻擊通過向您的伺服器傳送數以千計的虛假請求以阻止潛在讀者或客戶訪問它,從而使您的網站緩慢爬行。這裡有一些提示,可以在它們發生之前阻止它們:
- 制定DDoS攻擊發生時的計劃。當您需要提醒您的網路主機並停止攻擊時,您不想驚慌失措。
- 使用可能能夠檢測到虛假流量的 Web 應用程式防火牆。
- 使用專門定製的反DDoS軟體。
- 禁用xmlrpc.php以防止第三方應用程式使用您的伺服器。
- 為一般使用者禁用REST API。
防止蠻力攻擊
蠻力攻擊類似於DDoS攻擊,但其目標是猜測您的管理員密碼並闖入該站點,而不是關閉您的伺服器。也就是說,這些也會減慢您的網站速度。
- 同樣,WAF可以過濾掉機器人流量和公然的蠻力嘗試。
- 在您的管理員帳戶上使用兩步驗證。
- 設定活動日誌並密切關注未經授權的登入嘗試。
- 更改登入頁面URL並限制登入嘗試次數。
- 密碼保護您的登入頁面。
- 使用隨機生成的長密碼並每年更改一次。
常見網站安全工具
除了我們已經提到的那些,這裡還有一些線上安全工具可以幫助您鎖定您的網站:
- Intruder.io:掃描最新的漏洞。
- SSL Server Test: 分析您的SSL證書並識別弱點的開發工具。
- HTML Purifier:過濾掉惡意程式碼/XSS,如果您有需要清理的受感染程式碼,則非常有用。
- Mozilla Observatory:清除程式碼中常見漏洞的可行建議。
- sqlmap:一種滲透測試工具,用於識別SQL程式碼中的漏洞。
- Detectify:在道德黑客的幫助下掃描您的網路應用程式。
- WPScan:基於CLI的WordPress掃描器。
- SonarQube:編寫沒有安全漏洞的符合標準的程式碼。
網站安全檢查表
您的網站安全嗎?確保您已勾選此清單上的幾乎所有內容:
- 您使用的是安全、高質量的託管環境嗎?
- 您是否使用外掛或線上工具掃描您的網站以檢查病毒?
- 您是否安裝了活動日誌,並監控它是否有異常變化?
- 您和任何擁有高階許可權的使用者是否使用安全密碼和兩因素身份驗證?所有電子郵件都正確嗎?
- WordPress、其主題和外掛以及PHP等底層系統是否是最新的?
- 您的SSL證書是否安全且是最新的?
- 您是否檢查過無法解釋的更改、刪除或新增的內容,或者不是您在網頁、設定或檔案中新增的連結?
- 您的登入頁面是否受到密碼和有限登入嘗試的保護?
- 您是否檢查過未新增的新使用者?
- 表單、評論框和其他使用者輸入來源是否安全? (禁止特殊字元並將檔案上傳限制為已知檔案型別。)
- 您是否禁用了xmlrpc.php和REST API以防止DDoS攻擊?
- 您是否禁用了儀表板中的主題和外掛編輯?
- 您是否有日常備份服務?
- 您是否設定了Web應用程式防火牆?
小結
網站安全不是一件小事,所以如果你還沒有掌握它,現在是時候把它放在首位了。被黑客入侵不僅令人煩惱——它可能導致SEO受損、破壞性資料丟失、失去使用者信任以及惡意軟體一次又一次地捲土重來。
您無需成為經驗豐富的開發人員即可採取一些額外的步驟來保護您的網站。這從適當的網站安全檢查開始。即使是選擇更好的密碼或切換到更安全的主機這樣簡單的事情也可能會有所不同。
評論留言