脾气暴躁的设计师采用 WordPress 恶意软件

已发表: 2022-10-12

虽然有些职业会随着时间的推移而消失,但总是需要网页设计师。 为什么? 因为随着时间的流逝,这项工作变得更加复杂。 新的职责出现了,超出了自动化和无代码工具的范围。

网站安全就是一个典型的例子。 这一直是一个问题——即使我在 1990 年代中期开始走这条路时也是如此。 那时,主要问题是 FTP 密码被盗或愤怒的前同事破坏/清除文件。 这些天来,事情要多得多。 有点像一只讨厌的虫子,变成了一只巨大的海怪。

而那个怪物已经完全将它的触角缠绕在这个脾气暴躁的设计师身上。 工作已成为恶意软件感染、清洗和再感染的恶性循环。 然后重复。

怪物恶毒的主要目标是 WordPress。 这不足为奇,因为内容管理系统 (CMS) 不断受到攻击。 它具有为超过 40% 的网络提供动力的领域。

可悲的是,我知道我不是唯一面临这种崩溃的人。 有了这个,我想分享一些咆哮、想法和建议,让那个怪物回到原来的位置。

小心是不够的

网站安全的冷酷现实是没有保证。 几乎每个站点都可能受到恶意软件的攻击。 即使是我们当中最细心的人也会遇到这种情况。

因为它适用于 WordPress,所以要小心意味着牢记一些基本知识:

  • 审查我们安装的主题和插件;
  • 定期应用更新;
  • 使用安全和复杂的密码;
  • 将网站托管在重视安全的服务上;
  • 确保文件权限符合 WordPress 建议;
  • 添加额外的防御层,例如安全插件和防火墙;

虽然不止于此,但上述行动提供了坚实的基础。 这个想法是为了防止最基本的攻击。 希望它也能阻止一些更复杂的尝试。

这种方法令人沮丧的方面是,您的安全性仅与安全性中最薄弱的环节一样强大。 即使是信誉良好的插件也可能包含安全漏洞。 攻击者可以使用多种向量来制造麻烦——包括一些我们无法直接控制的向量。

因此,小心并不足以抵御每一次攻击。

对 WordPress 安全采取谨慎的方法是很好的——但不能保证。

清理黑客是一种资源消耗

尽管采取了措施来避免安全问题,黑客仍然会发生。 当他们这样做时,清理后果可能是一项艰巨的任务。

该过程涉及识别任何恶意文件——包括可能已被修改的合法 WordPress 核心文件。 Wordfence 插件中的安全扫描仪可以帮助识别文件,但有一些警告。

如果网站的管理员帐户遭到入侵,或者攻击者利用安全漏洞访问 WordPress 仪表板,那么所有的赌注都将失败。 他们有能力停用安全插件。 从那里,他们可以在不被发现的情况下造成各种破坏。

此外,确定恶意软件如何进入您的网站并非易事。 我数不清有多少次我认为我找到了罪魁祸首,但在随后的感染后才被证明是错误的。 通常需要梳理文件并研究安全博客才能获得答案。 然而,有些问题可能仍然是个谜。

这不仅对参与其中的每个人都有压力,而且还会妨碍您从事其他项目的能力。 安全漏洞是一种全方位的情况。 如果您碰巧是一名自由职业者,那么您的双手不可避免地会忙于修复被黑网站。

恶意软件修复会占用其他任务的宝贵时间。

网页设计师还能做什么?

正如我之前提到的,我们可以控制的只有这么多。 网页设计师可以做出明智的决定,但我们的项目仍然可能成为恶意软件的牺牲品。 在某些方面,这似乎是一个绝望的情况。

然而,安全威胁并没有消失。 如果有的话,它们将继续成倍增长。 这意味着我们必须继续努力。

以下是一些可以提供帮助的策略:

成为插件极简主义者

虽然安装不必要的 WordPress 插件从来都不是一个好主意,但它也可能很危险。 这就是为什么删除任何你不需要的东西是值得的。

在某些情况下,可能值得创建一个准系统自定义插件。 恶意机器人试图嗅出 WordPress 核心和特定插件中的已知漏洞。 这可能是一种在保持功能的同时降低风险的方法。

无论如何,跟上您安装的插件的最新情况也是一个好主意。 确保它们定期更新,并尽量避免任何不再维护的内容。

要求客户投资于安全

安全性可以成为网页设计师工作的重要组成部分。 很多工作都用于加强网站并减轻出现的任何问题。 但我们的定价并不总是反映这一现实。

因此,要求客户在该领域进行投资是有意义的。 通过推荐与安全相关的工具和服务,您可以主动添加额外的保护层。 通过在您的维护包中包含定期安全检查,您将密切关注正在发生的事情。

此策略的另一个好处是您提高了安全意识。 当客户更好地掌握该主题时,他们将更有可能采取预防措施。

制定清理计划

可以肯定地说,我们谁都不想处理被黑的网站。 我们尽我们所能试图阻止它发生。 而且……它无论如何都会发生。

因此,最好为这种情况做好准备,而不是把头埋在沙子里。 开发一个流程,帮助您有效地清理受感染的站点。

它可能并不总是第一次(或第二次)工作。 但每次失败都是一次很好的学习经历。 最终,您将改进流程并增加成功的几率。

获得一些专业帮助

管理网站安全是混乱和令人沮丧的——足以让我们任何人接受治疗。 这种专业的帮助总是受欢迎的。 但这不是我在这里谈论的那种。

相反,我说的是与安全专业人员合作。 例如,有助于锁定客户网站并消除任何感染的服务。

这涉及到成本——您可以将其转嫁给您的客户。 从长远来看,它可能只会挽救你的理智。

网页设计师可以采取额外的步骤来提高 WordPress 的安全性。

恶意软件混乱是新常态

在某些方面,保护网站就像一场猫捉老鼠的游戏。 对于您关闭的每个间隙,都会出现另一个间隙。 恶意行为者不断发展其渗透 WordPress 和其他平台的方法。 我们没有人能免疫。

这使我们的工作更加困难和耗时。 它还使我们的客户的网站维护成本更高。

当然,这不是我刚开始做网页设计师时所设想的。 我们中的许多人不太可能进入这个行业,因为我们喜欢清理恶意软件。 但不管你喜不喜欢,这是新常态。 我们是抵御这个众所周知的海怪的最后一道防线。 我们不能不战而败。