使用 WordPress 安全性玩 Whack-a-Mole

在当今时代保护网站（即使是小型网站）变得越来越困难。 而且，如果您使用的是 WordPress，那么您的背上可能还有一个大的老靶心。 在邪恶的人和无情的机器人之间，每一天的每一分钟都变成了战场。

真正令人惊叹的部分是，您几乎可以做所有正确的事情，但最终还是会得到一个被黑的网站。 继续更新您的插件和主题。 运行安全插件或设置其他进入障碍。 做所有这些，你可能仍然会发现自己处于一个妥协的位置。

就在最近，我为自己发现了这个艰难的事实。 我帮助一位同事处理了一个面临许多问题的网站——尽管我们认为我们正在以“正确的方式”做事。 它激发了我坐下来思考这段经历。 有了这个，这里有一些关于我学到的东西的想法和一些关于我们可以采取进一步措施来更好地保护 WordPress 网站的理论。

过去会困扰你

WordPress 核心、插件和主题都有自己的安全漏洞。 核心通常会很快得到修补，而您希望并祈祷插件和主题得到相同类型的处理。 但正如我们所见，堵塞漏洞并不总是足够的。

如果您的网站是几年前建立的，那么您可能已经受到了您甚至不知道的漏洞的影响。 也许他们被修补了……或者也许没有。 即使问题已得到解决，您的网站也可能已经暴露了一段时间，直到您安装了补丁或完全删除了某个项目。 期间发生了什么？ 你可能很长一段时间都不会发现。

例如，在筛选我之前提到的那个问题站点时，在 /wp-includes/ 目录中发现了恶意文件。 每个都是模仿该目录中其他合法文件的名称和修改日期的 .php 文件。 现在，这些文件可能会以某种方式回溯，以使其看起来好像它们一直都在那里。 但从表面上看，我们似乎遇到了一个休眠恶意软件的案例。 就像在特定日期和时间传递一些有效载荷的计算机病毒一样，此恶意代码可能已经“收到呼叫”以采取行动。

关键是，在错误的时间安装了错误的插件可能会让你在未来很头疼。 保持更新是一个很好的策略，但它并非万无一失。 最近看到少数故意分发恶意代码的插件表明您处于catch-22中。

不断变化的景观

如果被问到，我想我们中的许多人会说我们现在的工作比几年前还要好。 我们学习、发展并将新知识应用到我们的工作中。 因此，我们在构建网站时的选择也在不断发展。 我们使用的工具和技术很少年复一年地相同。

WordPress 及其生态系统经历了同样的过程——但速度要快得多。 昨天的必备插件明天可能会化为乌有。 一个笨拙的更新可以让用户成群结队地离开。

因此，您几年前建立并交付给客户的网站很可能正在运行您今天不会想到使用的插件。 俗话说：“眼不见，心不烦”。

需要一定程度的警惕，以确保您不仅使用最新版本，而且更换不再是最佳选择的项目。 不幸的是，对于许多设计师来说，这种持续关注并不总是可行的。 我们并不总是有时间，客户也不总是有预算来做这件事。 更不用说在某些情况下更换插件可能是一项艰巨的任务。 主题可能更加困难。

实际上，整个事情就像一场巨大的打地鼠游戏。 有时，您唯一的防御似乎是手持木槌随时待命，准备打击下一个弹出的小动物。 一定有更好的方法。

我们还能做什么？

因此，我们会定期应用更新并采取额外的安全措施。 我们使用强密码，并尽量使未经授权访问我们的网站变得尽可能困难。 然而，我们仍然面临着持续不断的攻击——其中一些可以通过。

我承认我不是最重要的安全专家。 但我确实对我们可以采取的进一步措施来保持我们的网站免受恶意软件等的影响有一些想法。 也许有些人有点轻率，但我希望引发讨论，而不是拯救全人类。

插件审核
这是我们可以经常自己做的事情，并实际向客户收取费用。 这个想法是定期（可能每年 2-3 次）查看安装了哪些插件并清除可能有问题的插件。 寻找被认为被废弃（至少两年没有更新）或完全从 WordPress 插件存储库中删除的插件。 然后，在必要时进行更换。

获得更好的信息
更好的是大规模服务，让我们了解哪些插件是旧的/恶意的/删除的。 开发人员和网站所有者可以从触手可及的此类资源中受益匪浅。 仅仅了解 WordPress 生态系统中正在发生的事情就可以帮助我们避免进一步的问题。

做出更明智的决定
我们经常在那个特定的时间做出我们认为是最好的决定。 但我们可以做得更好。 例如，选择插件通常是为了找到问题的最快解决方案。 但最快的解决方案并不总是最好的。 审查插件的质量应该与其功能同样重要。 我们不会总是做对，但查看变更日志和支持论坛可能对做出决策有很大帮助。

了解游戏
当我们启动一个新建的站点时，这并不意味着我们的工作已经结束。 为了确保事情的安全，我们必须继续关注正在发生的事情。 其中一部分可能是使用自动安全插件，当出现问题时会向我们发送电子邮件。 但这也是关于每隔一段时间手动环顾四周。 查看 WordPress 仪表板并查看站点的文件结构以搜索任何可疑内容。

主动托管
我想大多数网络主机都将安全作为重中之重。 但这并不意味着没有改进的余地。 根据我自己的经验，房东似乎经常在问题发生后对问题做出反应。 我相信我们可以从更积极主动的安全方法中受益。 例如，提醒客户有关最新安全威胁的信息以及如何加强您的网站以抵御这些威胁。

培训客户
最后，培训客户了解 WordPress 的注意事项非常重要。 如果他们访问网站的后端，他们应该知道安装插件或将其帐户信息提供给他人的潜在风险。 他们在保持自己网站的安全和健全方面可以发挥重要作用。

永远是目标

WordPress 的使用如此广泛，难怪它为什么会成为黑客的目标。 不幸的是，这是伴随着所有这些巨大成功而来的。

因此，在安全实践方面，我们都需要升级。 理想情况下，这意味着定期进行现场检查，最重要的是，访问关键信息。 知识是任何挑战的关键。 没有它，我们将永远被困在狂欢节游戏​​中。