脾氣暴躁的設計師採用 WordPress 惡意軟件

已發表: 2022-10-12

雖然有些職業會隨著時間的推移而消失,但總是需要網頁設計師。 為什麼? 因為隨著時間的流逝,這項工作變得更加複雜。 新的職責出現了,超出了自動化和無代碼工具的範圍。

網站安全就是一個典型的例子。 這一直是一個問題——即使我在 1990 年代中期開始走這條路時也是如此。 那時,主要問題是 FTP 密碼被盜或憤怒的前同事破壞/清除文件。 這些天來,事情要多得多。 有點像一隻討厭的蟲子,變成了一隻巨大的海怪。

而那個怪物已經完全將它的觸角纏繞在這個脾氣暴躁的設計師身上。 工作已成為惡意軟件感染、清洗和再感染的惡性循環。 然後重複。

怪物惡毒的主要目標是 WordPress。 這不足為奇,因為內容管理系統 (CMS) 不斷受到攻擊。 它具有為超過 40% 的網絡提供動力的領域。

可悲的是,我知道我不是唯一面臨這種崩潰的人。 有了這個,我想分享一些咆哮、想法和建議,讓那個怪物回到原來的位置。

小心是不夠的

網站安全的冷酷現實是沒有保證。 幾乎每個站點都可能受到惡意軟件的攻擊。 即使是我們當中最細心的人也會遇到這種情況。

因為它適用於 WordPress,所以要小心意味著牢記一些基本知識:

  • 審查我們安裝的主題和插件;
  • 定期應用更新;
  • 使用安全和復雜的密碼;
  • 將網站託管在重視安全的服務上;
  • 確保文件權限符合 WordPress 建議;
  • 添加額外的防禦層,例如安全插件和防火牆;

雖然不止於此,但上述行動提供了堅實的基礎。 這個想法是為了防止最基本的攻擊。 希望它也能阻止一些更複雜的嘗試。

這種方法令人沮喪的方面是,您的安全性僅與安全性中最薄弱的環節一樣強大。 即使是信譽良好的插件也可能包含安全漏洞。 攻擊者可以使用多種向量來製造麻煩——包括一些我們無法直接控制的向量。

因此,小心並不足以抵禦每一次攻擊。

對 WordPress 安全採取謹慎的方法是很好的——但不能保證。

清理黑客是一種資源消耗

儘管採取了措施來避免安全問題,黑客仍然會發生。 當他們這樣做時,清理後果可能是一項艱鉅的任務。

該過程涉及識別任何惡意文件——包括可能已被修改的合法 WordPress 核心文件。 Wordfence 插件中的安全掃描儀可以幫助識別文件,但有一些警告。

如果站點的管理員帳戶遭到入侵,或者攻擊者利用安全漏洞訪問 WordPress 儀表板,那麼所有的賭注都將失敗。 他們有能力停用安全插件。 從那裡,他們可以在不被發現的情況下造成各種破壞。

此外,確定惡意軟件如何進入您的網站並非易事。 我數不清有多少次我認為我找到了罪魁禍首,但在隨後的感染後才被證明是錯誤的。 通常需要梳理文件並研究安全博客才能獲得答案。 然而,有些問題可能仍然是個謎。

這不僅對參與其中的每個人都有壓力,而且還會妨礙您從事其他項目的能力。 安全漏洞是一種全方位的情況。 如果您碰巧是一名自由職業者,那麼您的雙手不可避免地會忙於修復被黑網站。

惡意軟件修復會佔用其他任務的寶貴時間。

網頁設計師還能做什麼?

正如我之前提到的,我們可以控制的只有這麼多。 網頁設計師可以做出明智的決定,但我們的項目仍然可能成為惡意軟件的犧牲品。 在某些方面,這似乎是一個絕望的情況。

然而,安全威脅並沒有消失。 如果有的話,它們將繼續成倍增長。 這意味著我們必須繼續努力。

以下是一些可以提供幫助的策略:

成為插件極簡主義者

雖然安裝不必要的 WordPress 插件從來都不是一個好主意,但它也可能很危險。 這就是為什麼刪除任何你不需要的東西是值得的。

在某些情況下,可能值得創建一個準系統自定義插件。 惡意機器人試圖嗅出 WordPress 核心和特定插件中的已知漏洞。 這可能是一種在保持功能的同時降低風險的方法。

無論如何,跟上您安裝的插件的最新情況也是一個好主意。 確保它們定期更新,並儘量避免任何不再維護的內容。

要求客戶投資於安全

安全性可以成為網頁設計師工作的重要組成部分。 很多工作都用於加強網站並減輕出現的任何問題。 但我們的定價並不總是反映這一現實。

因此,要求客戶在該領域進行投資是有意義的。 通過推薦與安全相關的工具和服務,您可以主動添加額外的保護層。 通過在您的維護包中包含定期安全檢查,您將密切關注正在發生的事情。

此策略的另一個好處是您提高了安全意識。 當客戶更好地掌握該主題時,他們將更有可能採取預防措施。

制定清理計劃

可以肯定地說,我們誰都不想處理被黑的網站。 我們盡我們所能試圖阻止它發生。 而且……它無論如何都會發生。

因此,最好為這種情況做好準備,而不是把頭埋在沙子裡。 開發一個流程,幫助您有效地清理受感染的站點。

它可能並不總是第一次(或第二次)工作。 但每次失敗都是一次很好的學習經歷。 最終,您將改進流程並增加成功的機率。

獲得一些專業幫助

管理網站安全是混亂和令人沮喪的——足以讓我們任何人接受治療。 這種專業的幫助總是受歡迎的。 但這不是我在這裡談論的那種。

相反,我說的是與安全專業人員合作。 例如,有助於鎖定客戶網站並消除任何感染的服務。

這涉及到成本——您可以將其轉嫁給您的客戶。 從長遠來看,它可能只會挽救你的理智。

網頁設計師可以採取額外的步驟來提高 WordPress 的安全性。

惡意軟件混亂是新常態

在某些方面,保護網站就像一場貓捉老鼠的遊戲。 對於您關閉的每個間隙,都會出現另一個間隙。 惡意行為者不斷發展其滲透 WordPress 和其他平台的方法。 我們沒有人能免疫。

這使我們的工作更加困難和耗時。 它還使我們的客戶的網站維護成本更高。

當然,這不是我剛開始做網頁設計師時所設想的。 我們中的許多人不太可能進入這個行業,因為我們喜歡清理惡意軟件。 但不管你喜不喜歡,這是新常態。 我們是抵禦這個眾所周知的海怪的最後一道防線。 我們不能不戰而敗。