使用 WordPress 安全性玩 Whack-a-Mole
已發表: 2020-01-11在當今時代保護網站(即使是小型網站)變得越來越困難。 而且,如果您使用的是 WordPress,那麼您的背上可能還有一個大的老靶心。 在邪惡的人和無情的機器人之間,每一天的每一分鐘都變成了戰場。
真正令人驚嘆的部分是,您幾乎可以做所有正確的事情,但最終還是會得到一個被黑的網站。 繼續更新您的插件和主題。 運行安全插件或設置其他進入障礙。 做所有這些,你可能仍然會發現自己處於一個妥協的位置。
就在最近,我為自己發現了這個艱難的事實。 我幫助一位同事處理了一個面臨許多問題的網站——儘管我們認為我們正在以“正確的方式”做事。 它激發了我坐下來思考這段經歷。 有了這個,這裡有一些關於我學到的東西的想法和一些關於我們可以採取進一步措施來更好地保護 WordPress 網站的理論。
過去會困擾你
WordPress 核心、插件和主題都有自己的安全漏洞。 核心通常會很快得到修補,而您希望並祈禱插件和主題得到相同類型的處理。 但正如我們所見,堵塞漏洞並不總是足夠的。
如果您的網站是幾年前建立的,那麼您可能已經受到了您甚至不知道的漏洞的影響。 也許他們被修補了……或者也許沒有。 即使問題已得到解決,您的網站也可能已經暴露了一段時間,直到您安裝了補丁或完全刪除了某個項目。 期間發生了什麼? 你可能很長一段時間都不會發現。
例如,在篩選我之前提到的那個問題站點時,在 /wp-includes/ 目錄中發現了惡意文件。 每個都是模仿該目錄中其他合法文件的名稱和修改日期的 .php 文件。 現在,這些文件可能會以某種方式回溯,以使其看起來好像它們一直都在那裡。 但從表面上看,我們似乎遇到了一個休眠惡意軟件的案例。 就像在特定日期和時間傳遞一些有效載荷的計算機病毒一樣,此惡意代碼可能已經“收到呼叫”以採取行動。
關鍵是,在錯誤的時間安裝了錯誤的插件可能會讓你在未來很頭疼。 保持更新是一個很好的策略,但它並非萬無一失。 最近看到少數故意分發惡意代碼的插件表明您處於catch-22中。
不斷變化的景觀
如果被問到,我想我們中的許多人會說我們現在的工作比幾年前還要好。 我們學習、發展並將新知識應用到我們的工作中。 因此,我們在構建網站時的選擇也在不斷發展。 我們使用的工具和技術很少年復一年地相同。
WordPress 及其生態系統經歷了同樣的過程——但速度要快得多。 昨天的必備插件明天可能會化為烏有。 一個笨拙的更新可以讓用戶成群結隊地離開。
因此,您幾年前建立並交付給客戶的網站很可能正在運行您今天不會想到使用的插件。 俗話說:“眼不見,心不煩”。
需要一定程度的警惕,以確保您不僅使用最新版本,而且更換不再是最佳選擇的項目。 不幸的是,對於許多設計師來說,這種持續關注並不總是可行的。 我們並不總是有時間,客戶也不總是有預算來做這件事。 更不用說在某些情況下更換插件可能是一項艱鉅的任務。 主題可能更加困難。
實際上,整個事情就像一場巨大的打地鼠遊戲。 有時,您唯一的防禦似乎是手持木槌隨時待命,準備打擊下一個彈出的小動物。 一定有更好的方法。
我們還能做什麼?
因此,我們會定期應用更新並採取額外的安全措施。 我們使用強密碼,並儘量使未經授權訪問我們的網站變得盡可能困難。 然而,我們仍然面臨著持續不斷的攻擊——其中一些可以通過。
我承認我不是最重要的安全專家。 但我確實對我們可以採取的進一步措施來保持我們的網站免受惡意軟件等的影響有一些想法。 也許有些人有點輕率,但我希望引發討論,而不是拯救全人類。
插件審核
這是我們可以經常自己做的事情,並實際向客戶收取費用。 這個想法是定期(可能每年 2-3 次)查看安裝了哪些插件並清除可能有問題的插件。 尋找被認為被廢棄(至少兩年沒有更新)或完全從 WordPress 插件存儲庫中刪除的插件。 然後,在必要時進行更換。
獲得更好的信息
更好的是大規模服務,讓我們了解哪些插件是舊的/惡意的/刪除的。 開發人員和網站所有者可以從觸手可及的此類資源中受益匪淺。 僅僅了解 WordPress 生態系統中正在發生的事情就可以幫助我們避免進一步的問題。
做出更明智的決定
我們經常在那個特定的時間做出我們認為是最好的決定。 但我們可以做得更好。 例如,選擇插件通常是為了找到問題的最快解決方案。 但最快的解決方案並不總是最好的。 審查插件的質量應該與其功能同樣重要。 我們不會總是做對,但查看變更日誌和支持論壇可能對做出決策有很大幫助。
了解遊戲
當我們啟動一個新建的站點時,這並不意味著我們的工作已經結束。 為了確保事情的安全,我們必須繼續關注正在發生的事情。 其中一部分可能是使用自動安全插件,當出現問題時會向我們發送電子郵件。 但這也是關於每隔一段時間手動環顧四周。 查看 WordPress 儀表板並查看站點的文件結構以搜索任何可疑內容。
主動託管
我想大多數網絡主機都將安全作為重中之重。 但這並不意味著沒有改進的餘地。 根據我自己的經驗,房東似乎經常在問題發生後對問題做出反應。 我相信我們可以從更積極主動的安全方法中受益。 例如,提醒客戶有關最新安全威脅的信息以及如何加強您的網站以抵禦這些威脅。
培訓客戶
最後,培訓客戶了解 WordPress 的注意事項非常重要。 如果他們訪問網站的後端,他們應該知道安裝插件或將其帳戶信息提供給他人的潛在風險。 他們在保持自己網站的安全和健全方面可以發揮重要作用。
永遠是目標
WordPress 的使用如此廣泛,難怪它為什麼會成為黑客的目標。 不幸的是,這是伴隨著所有這些巨大成功而來的。
因此,在安全實踐方面,我們都需要升級。 理想情況下,這意味著定期進行現場檢查,最重要的是,訪問關鍵信息。 知識是任何挑戰的關鍵。 沒有它,我們將永遠被困在狂歡節遊戲中。