到目前為止,WordPress 是最流行的建站方式。但不幸的是,WordPress 的流行也使它成為世界各地惡意攻擊者的目標。這可能會讓你懷疑 WordPress 是否足夠安全來應對這些攻擊。
首先是壞訊息: 每年都有成千上萬的 WordPress 網站遭到黑客攻擊,電子商務網站也不例外(這就是為什麼我們有一份關於預防電子商務欺詐的深度指南)。
聽起來很可怕,對吧?其實不然,因為也有好訊息:
黑客並不是因為最新的 WordPress 核心軟體存在漏洞才入侵的。相反,大多數網站被黑客攻擊的原因都是完全可以預防的,比如沒有及時更新或使用不安全的密碼。
因此,回答 “WordPress 安全嗎?”這個問題需要一些細微差別。為此,我們將從幾個不同的角度進行分析:
- 統計 WordPress 網站實際被黑客攻擊的情況,以便了解安全漏洞在哪裡。
- WordPress 核心團隊是如何解決安全問題的,這樣你就能知道誰是負責人,他們負責保護什麼。
- 當你遵循最佳實踐時,WordPress 是否安全,讓你知道你的網站是否安全。
WordPress 網站是如何被黑的(資料顯示)
好吧,你知道每年都有大量 WordPress 網站遭到黑客攻擊。但是……這是怎麼發生的呢?這是一個全球性的 WordPress 問題嗎?還是那些網站管理員的行為造成的?
根據我們掌握的資料,以下是大多數 WordPress 網站被黑客攻擊的原因…
核心軟體過時
以下是 Sucuri 2022 年被黑網站報告中一個不足為奇的相關資料。在 Sucuri 檢視的所有被黑 WordPress 網站中,49.8% 在事件發生時執行的是過時的 WordPress 核心軟體。
被黑客攻擊的網站(圖片來源:Sucuri)
由此可見,被黑客攻擊與使用過時軟體之間的關係非常密切。不過,與 2021 年的 50.3% 相比,貌似有些許進步。👏
根據 WPScan 漏洞資料庫,他們記錄的已知漏洞中有 693 個是 WordPress 核心軟體中的漏洞。
已知漏洞的 WPScan 列表
但不幸的是,只有 61.2% 的 WordPress 網站執行的是最新版本,這就是為什麼許多網站仍然容易受到這些漏洞攻擊的原因:
按版本劃分的 WordPress 使用情況。(圖片來源:WordPress.org)
最後,你可以從 2017 年 2 月的重大 WordPress REST API 漏洞中再次看到這種聯絡,當時有數十萬個網站遭到篡改。
WordPress 4.7.1 包含多個漏洞,這些漏洞最終被用來篡改這些網站。但是……在漏洞被利用的幾周前,WordPress 4.7.2 釋出,修復了所有這些漏洞。
所有沒有禁用自動安全補丁或及時更新到 WordPress 4.7.2 的 WordPress 網站所有者都安全了。但那些沒有應用更新的人就不安全了。
提示:WordPress 安全團隊在快速修復 WordPress 核心軟體問題方面做得非常出色。如果您及時應用所有安全更新,您的網站就不太可能因核心漏洞而出現任何問題。但如果您不這樣做,一旦漏洞暴露在野外,您就會承擔風險。
2. 過時的外掛或主題
人們對 WordPress 的喜愛之一,就是其令人眼花繚亂的可用外掛和主題。截至撰寫本文時,WordPress 儲存庫中已有超過 70,000 個外掛和主題,另外還有數千個高階外掛釋出在網路上。
雖然所有這些選項都能很好地擴充套件您的網站,但每一個擴充套件對於惡意行為者來說都是一個新的潛在入口。雖然大多數 WordPress 開發人員都能很好地遵循程式碼標準,並在更新時及時打上補丁,但仍存在一些潛在問題:
- 外掛或主題存在漏洞,但由於沒有像 WordPress 核心軟體那樣多的人關注,該漏洞沒有被發現。
- 開發者停止了對擴充套件的開發,但人們仍在使用它。
- 開發者很快就打上了補丁,但人們就是不更新。
那麼問題到底有多大?
在 Wordfence 對被黑網站所有者進行的一項調查中,超過 60% 的知道黑客如何入侵的網站所有者將其歸因於外掛或主題漏洞。
Wordfence 被黑網站調查(圖片來源:Wordfence)
同樣,在 Sucuri 的 2022 年報告中,僅 3 個外掛就佔了他們所檢視的被黑網站的 60%以上。
Sucuri 被黑外掛列表
但問題就在這裡:
這些外掛中的漏洞早已被修補,網站所有者只是沒有更新外掛來保護他們的網站。
WordPress 主題和外掛引入了一個萬用字元,可能會讓惡意行為者侵入您的網站。不過,遵循最佳實踐可以降低大部分風險。及時更新擴充套件,只安裝信譽良好的擴充套件。
我們還不得不提一下你可能會在網上看到的 GPL 俱樂部,在那裡你只需花幾美元就可以獲得任何高階 WordPress 外掛或主題。雖然 WordPress 是以 GPL 許可的,這一點非常棒,也是我們喜歡它的原因之一,但買家還是要當心。這些外掛有時也被稱為無效外掛。
從 GPL 俱樂部購買外掛意味著你要相信第三方,從開發者那裡獲取最新更新,而且很多時候你得不到支援。從開發者那裡獲取外掛更新是最安全的途徑。此外,我們非常支援開發者及其辛勤工作!
3. WordPress、FTP 或主機的登入憑證被盜
好吧,這其實不是 WordPress 的錯。但有相當比例的黑客攻擊是由於惡意行為者獲取了 WordPress 登入憑據,或網站管理員的主機或 FTP 賬戶的登入憑據。
在 Wordfence 的同一項調查中,暴力攻擊佔黑客攻擊網站的 16%,密碼竊取、工作站、網路釣魚和 FTP 賬戶都佔了很小的比例,但也很明顯。
一旦惡意行為者拿到了隱喻的前門鑰匙,WordPress 網站在其他方面的安全性就不重要了。
WordPress 通過自動生成安全密碼,很好地緩解了這一問題,但使用者仍需妥善保管這些密碼,併為主機和 FTP 使用強大的密碼。
採取基本措施確保賬戶憑證安全,可以防止惡意行為者直接進入。為所有 WordPress 賬戶使用/強制使用高強度密碼,並限制登入嘗試次數,以防止暴力攻擊。
對於主機賬戶,如果可用,請使用雙因素身份驗證,切勿以明文形式儲存 FTP 密碼(像某些 FTP 程式那樣)。
如果您可以在 FTP 和 SFTP(SSH 檔案傳輸協議)之間做出選擇,請務必使用 SFTP(瞭解 FTP 和 SFTP 的區別,以便理解原因)。如果您的主機只使用 FTP,我們建議您詢問是否支援 SFTP,或者換一臺支援 SFTP 的主機。這樣可以確保不會傳輸明文密碼或檔案資料。在 Kinsta,我們只支援 SFTP 檔案傳輸。
4. 供應鏈攻擊
最近,出現了一些黑客通過一種被稱為供應鏈攻擊的卑劣手段訪問網站的情況。從本質上講,惡意行為者會
- 購買 WordPress.org 上以前列出的高質量外掛
- 在外掛程式碼中新增後門
- 等待使用者更新外掛,然後注入後門
如果您感興趣,Wordfence 有更深入的解釋。雖然這類攻擊並不普遍,但卻更難防範,因為它們是通過做一些你應該做的事(保持更新外掛)而導致的。
儘管如此,WordPress.org 團隊通常會很快發現這些問題,並將外掛從目錄中刪除。
提示:這個問題很難預防,因為經常更新到最新版本是件好事。Wordfence等安全外掛可以在外掛從WordPress.org刪除時提醒您,以便您快速處理。而一個好的備份策略可以幫助你進行回滾,而不會造成任何永久性的損害。
5. 糟糕的託管環境和過時的技術
除了 WordPress 網站上發生的事情之外,您的託管環境和您使用的技術也會產生影響。例如,儘管 PHP 7 比 PHP 5 提高了許多安全性,但只有約 33% 的 WordPress 網站使用 PHP 7 或更高版本。
WordPress 網站 PHP 使用情況。(圖片來源:WordPress.org)
PHP 5.6 的安全支援將於 2018 年底正式到期。而 PHP 5 的早期版本已經多年沒有安全支援了。
這意味著使用 PHP 5.6 或更低版本的主機環境很快就會暴露出潛在的未修補 PHP 安全漏洞。
儘管如此,仍有高達 28% 的 WordPress 網站在使用 5.6 以下的 PHP 版本,考慮到最近發現的 PHP 漏洞數量創下了歷史新高,這是一個巨大的問題。
使用安全的 WordPress 託管除了可以讓你獲得最新的技術外,還可以幫助你自動減少許多其他潛在的安全漏洞:
- 網路應用程式防火牆,如 Cloudflare(Kinsta 上的所有網站都受到我們的 Cloudflare 整合的保護)和 Sucuri
- 自動更新安全版本
- 雙因素驗證
- 自動備份
提示:使用安全的託管環境和 PHP 等重要技術的最新版本,有助於進一步確保 WordPress 網站的安全。
誰負責保護 WordPress 的安全?
現在你可能想知道,誰負責解決上述所有問題?
官方說法是由 WordPress 安全團隊負責(儘管來自世界各地的個人貢獻者和開發者也在維護 WordPress 安全方面發揮著巨大作用)。
WordPress 安全團隊由 “包括首席開發人員和安全研究人員在內的 50 名專家組成”。這些專家中約有一半在 Automattic 工作。其他專家則從事網路安全工作,該團隊還為安全研究人員和託管公司提供諮詢。
如果您有興趣詳細瞭解 WordPress 安全團隊的運作方式,可以觀看亞倫-坎貝爾(Aaron Campbell)在 WordCamp Europe 2017 上發表的 48 分鐘演講。總的來說,WordPress 安全團隊的工作包括:
- 利用 HackerOne 的漏洞賞金等工具檢測並修補漏洞和潛在問題
- 為所有 WordPress 核心版本提供諮詢服務
WordPress 安全團隊有一項披露政策,這意味著一旦他們成功修補了漏洞併發布了安全修復,他們就會公開披露該問題(這也是為什麼 2017 年有那麼多網站被篡改的部分原因–即使在安全團隊公開披露漏洞之後,這些網站仍然沒有應用更新)。
WordPress 安全團隊不會檢查 WordPress.org 上的所有主題和外掛。WordPress.org 上的主題和外掛都是由志願者人工稽覈的。但這種審查並不能 “保證它們不存在安全漏洞“。
那麼,如果您遵循最佳實踐,WordPress 是否安全?
縱觀上述所有資料和事實,你就會發現這一總體趨勢:
雖然沒有一個內容管理系統是100%安全的,但WordPress的核心軟體擁有高質量的安全機制,而大多數黑客攻擊都是網站管理員沒有遵循基本安全最佳實踐的直接結果。
如果您能做到以下幾點…
- 及時更新 WordPress 核心軟體、外掛和主題。
- 明智地選擇外掛和主題,只安裝信譽良好的開發商/源的擴充套件。謹防 GPL 俱樂部和無效外掛/主題。
- 如果可以在 FTP 和 SFTP 之間進行選擇,請務必使用 SFTP。
- 為WordPress以及您的主機和SFTP賬戶使用高強度密碼(如果有的話,使用雙因素驗證)。
- 不要使用 “admin” 作為使用者名稱。
- 在網站前設定防火牆。新增 Cloudflare 或 Sucuri 的 WAF 可以使您的網站更加安全。
- 讓自己的電腦遠離病毒。
- 更改 WordPress 登入 URL 以減少暴力破解。
- 使用 TLS 證書(HTTPS),這樣與 WordPress 網站的所有通訊(如登入儀表板)都會加密。您可以使用免費 HTTPS 證書!
- 使用 SSH 金鑰。這提供了一種更安全的登入伺服器方式,而且無需密碼。
- 選擇環境安全的主機,並使用 PHP 8+ 等最新技術。
……這樣WordPress就安全了,您的網站現在和將來都不會受到黑客攻擊。
評論留言