当前位置:南京网站建设 > 网站文章

如何运行WordPress安全扫描

来源:南京网站建设 浏览: 时间:2020-03-08 09:09:57
作为网页设计师或开发人员,您为什么要关心运行WordPress安全扫描?随着专用解决方案可用性的不断提高,WordPress现在占互联网的34%。作为最常用的开源内容管理系统(CMS),WordPress也是安全攻击的目标。

根据GoDaddy Security和Sucuri团队对超过25,000个受感染网站和440万个已清除文件的分析,Sucuri的《 2018年网站黑客趋势报告》显示WordPress感染率从2017年的83%上升到2018年的90%。该报告的作者指出,然而,包括WordPress在内的开放源代码平台上普遍存在的违规行为并不意味着“这些平台比其他平台更安全。……这些数据代表了我们环境中最常见的平台,并反映了这些内容管理系统的整体受欢迎程度。

值得庆幸的是,定期投资WordPress安全扫描可以使您的客户免于灾难,并在您自己的服务产品之外提供更多的业务。

为什么WordPress安全扫描如此重要?
由于WordPress是一个开源CMS,因此构成其优雅设计的每一行代码都可以接受审查和利用。如果您要回顾WordPress已发布的所有更新,几乎每个更新都包含一个安全补丁。这应该告诉管理员,开发人员和企业主,这些站点需要定期维护  以确保其安全-最重要的是在线。

如果忽略了WordPress网站,那么受到危害的业务就不可避免。 

话虽这么说,对WordPress进行常规的安全扫描要比在破坏完成后尝试修复站点要少得多。

实际上,如果您发现自己的站点已遭到破坏,那么通常比从头开始重新创建站点要容易得多,这比审核整个服务器来确定哪个备份(如果有)没有恶意软件更容易。

幸运的是,有一些工具和过程可以使此过程变得更加轻松快捷,甚至可以包含在您的服务产品中。

WordPress安全扫描如何适合您的服务产品?
以我的专业经验,大多数为客户构建网站的开发人员都不愿意维护或保护网站。

企业所有者往往会无限期地对其网站的运行状况感到困惑,因为他们从未意识到自己应该定期检查WordPress网站安全性。该网站被忽略了,最终,3,000美元的投资被拆除。

提供维护服务可以提高客户业务的寿命和价值,从而为您自己的业务带来稳定的收入。

这将创造可预测的工作以及经常性的收入流,这简直就是为更少的工作赚更多的钱。

此外,这种策略将使您的品牌保持新鲜,并提醒他们您的价值,从而有助于加强与客户的业务关系。

在自由职业者中,新工作通常是通过现有客户或出色的经验引荐而产生的。向您的客户表明您已为他们的成功投资,这将鼓励他们向您的客户投资。

如何运行WordPress安全扫描:清单
好的,所以我们已经讨论了为什么在野外保持客户安全很重要。我们还讨论了如何将灾难场景变成所有人的双赢。但是到目前为止,您应该想知道如何在您的产品线中实施这些新服务。戴上帽子,因为您将收到一个清单,以了解如何用一个小时的时间来创收!

1.更新核心文件,插件和主题。
2.删除未使用的插件和主题。
3.安装SSL证书。
4.强制使用强密码。
5.安装安全插件。
6.在表单上使用验证码。
7.限制登录尝试。
8.关闭文件编辑。
9.更改安全密钥。
10.使用.htaccess保护核心文件。
11.禁用XML-RPC。
12.审核文件权限。
13.禁用PHP错误报告。
14.有一个备份计划。

1.更新核心文件,插件和主题
之前我提到WordPress更新几乎总是涉及安全补丁。这应该始终是保护客户网站安全的第一步-而且步骤再简单不过了。您要做的就是登录wp-admin仪表板,将鼠标悬停在侧栏上的仪表板按钮上,然后在下拉菜单中单击更新。选择您要更新的项目-应该列出所有项目。通过将以下代码行添加到wp-config.php文件中,可以自动更新核心文件,插件和主题,从而使此过程变得更加轻松:

//为所有启用自动更新
define('WP_AUTO_UPDATE_CORE',true);
add_filter('auto_update_plugin','__return_true');
add_filter('auto_update_theme','__return_true');
自动更新可以大大改变主题或插件的工作方式。它实际上有时可能会中断,但是与在站点中留下漏洞相比,这可能是有利的。

2.删除未使用的插件和主题
WordPress的最大功能之一是其下载和运行插件的能力,有可能改善您网站的功能。话虽这么说,一件好事可能太多了。

插件和主题之间的代码质量可能会有所不同,因为其中一些是由企业创建的,而另一些则是由业余爱好者创建的,但都不完美。
 

在您的WordPress网站上安装了每个插件后,该网站被黑客入侵的可能性就更高,因为每次安装都会打开新的引导程序。仅仅停用不使用的插件是不够的。实际上,您必须删除它们才能从服务器中删除易受攻击的代码。

删除未使用的项目对于性能同样重要,并且应该是任何WordPress安全扫描的一部分。活动插件越少,该站点将运行得越安全,越快。

3.安装SSL证书
到现在为止,每个网站都应该具有SSL证书,这显然很痛苦。 

简而言之,将SSL安装添加到您的服务产品中可以增强您的客户端的能力,保护其流量,保护用户免受网络钓鱼的侵害并可以提高搜索引擎的排名。

安装证书后,您可以通过转到“常规设置”并将协议从HTTP更改为HTTPS来更改WordPress中的WordPress地址和站点地址。单击“ 保存更改”,安装完成。

4.强制使用强密码

2019年最常用的密码  从123456到密码不等,这很明显,不安全,并且几乎可以确保未经授权的用户可以访问该帐户。根据Symantec(赛门铁克)的说法,强密码包含至少八位数字,标点符号以及大小写字符。

您的WordPress安全扫描应涵盖一些明显的内容。永远不要两次使用相同的密码。同样重要的是您的密码不包含在词典或专有名词中可以找到的单词,因为它们特别容易受到适当命名的词典攻击。

5.安装安全性插件
安全插件位于灰色区域,可以像帮助您保护网站一样轻松将您引向销毁之路。重要的是要知道哪些安全插件效果最好。

 如果您还没有实现防火墙,它们还提供了防火墙功能,可以保护您的站点免遭屡犯。硬币的反面显示,有时这些安全性插件是以牺牲网站性能为代价的。

作为开发人员,重要的是通过将插件功能与服务器上已运行的系统进行比较来确定是否使用安全性插件,并牢记可用硬件资源(例如内存或处理能力)。

6.在表单上使用验证码
黑客无需为了破坏站点而破坏登录权限并传播恶意软件。

如果您的WordPress网站具有不带验证码的联系表单,您可以打赌,最终它将被用于发送服务器可以处理的尽可能多的垃圾邮件和恶意电子邮件。此外,验证码工具还可以防止管理员帐户受到暴力攻击。

7.限制登录尝试
在我们讨论蛮力攻击这一主题时,让我为僵尸程序和黑客提供更多保护。插件“ 限制登录尝试次数”  将通过可自定义的限制限制您的管理页面,以限制用户被阻止提交登录表单之前允许的失败登录次数。您还可以添加白名单,以防用户忘记密码。

8.关闭文件编辑
在处理WordPress安全扫描时,您会注意到WordPress允许您直接从管理面板中编辑主题和插件文件。这暴露了一个重要的漏洞,可能会带来意想不到的后果。

最好禁用它,以防止黑客或其他用户有意或以其他方式破坏站点。
 

值得庆幸的是,补救措施涉及对wp-config.php文件的另一处更改。只需将此行添加到文件中即可:

//禁用文件编辑
define('DISALLOW_FILE_EDIT',true);
9.更改安全密钥
存储在wp-config.php文件中的安全密钥对存储在cookie中的登录会话进行加密。更改这些密钥将使所有会话无效,使所有用户退出仪表板,还可以防止黑客劫持打开的会话。

更改这些键就像复制和粘贴一样简单。

首先,使用WordPress安全密钥生成器API  来获取新的秘密密钥,然后将其复制。您会发现一个看起来相似的代码块,可以将其替换为已复制的新代码块。它看起来像这样:

define('AUTH_KEY','HeW#zltmGurr @ u {B97hDiOr; 3 @ <1>-^ bbtua-:bC&K4`] * r 6V <-s-GtTq?lLL | h');;
define('SECURE_AUTH_KEY','B> t.QYHTKXRv /)ewR 5 $ iswZrLM} kAE#15?:2lu] zPd!KuB78?4fopw3QsHtx#4');
define('LOGGED_IN_KEY','gI:T2,v7 | E [.Q&[yGK | $ a + s1;&$ 8-[?| 6dE + FX | 9 | Ex | N [EPiQ0YzoXas = .7`4;&' );
define('NONCE_KEY','Z _- $ xVrv0 + VqtoVl#8 | s / zeOlm ^ h#zHh(3me1X / S(l [(h;-+ KI&cyDuLbm <!DR。');;
define('AUTH_SALT','-?i [ahut&xhfTLlnk + u ^ [GC2?:324X / Lo * <i {| K75j)6HI <y1 <Vc $ |(,-xZ + {O]');;
define('SECURE_AUTH_SALT','B | M9s9a * iwp44 | ldOHJlG9。#-Hb $ t?kY | st; D9)] FALOWt [/ fYrtanxrjoxfD(z');;
define('LOGGED_IN_SALT','z_ Drd6Rip3upj:P * | 2UsToIkVtaG | Nk3JKO yNq = xQZpVy7u!d @ .TO8P:b5#s * H');;
define('NONCE_SALT','5 / af {* Wq82Gzq56&$ b)<] X = -3#NW3x ++?D | PD-oCs =(#_ y-?Z = w [] W9#jBfgJ *');;

10.使用.htaccess保护核心文件
利用。htaccess文件可能是WordPress安全扫描中最强大的工具之一。

我们将从保护核心文件免于从浏览器访问开始,因为这些文件对合法的查看者没有任何作用,并且通常只能从浏览器进行访问以查找和利用漏洞。如果您想了解Apache Web服务器和.htaccess文件的工作方式,我强烈建议您查看htaccess-guide.com。

但是,作为快速解决方案,您可以 在BEGIN / END wordpress标记之前或之后,从WordPress团队添加以下代码块:

#阻止仅包含文件。

RewriteEngine开
RewriteBase /
RewriteRule ^ wp-admin / includes /-[F,L]
RewriteRule!^ wp-includes /-[S = 3]
RewriteRule ^ wp-includes / [^ /] + \。php $-[F,L]
RewriteRule ^ wp-includes / js / tinymce / langs /.+ \。php-[F,L]
RewriteRule ^ wp-includes / theme-compat /-[F,L]

11.禁用XML-RPC
大多数用户没有利用XML-RPC背后的功能,该功能使您可以撰写博客文章并与某些插件进行交互。如果您具有将新内容发布到站点的自动提要,则这种类型的功能很好,但是它非常复杂并且很少被利用。

在大多数情况下,只需禁用它即可拒绝黑客暴力破解用户密码的方法。为了禁用它,您只需要向中添加另一个代码块。htaccess文件:

#disable xmlrpc

order allow,deny
deny from all

12.审核文件权限
根据WordPress的说法,开发人员和管理员应不惜一切代价避免使用777文件权限。通过拥有这种权限的文件,机器上的任何人都可以读取,写入和执行任何具有777权限的文件。

相反,WordPress建议您对文件夹使用755权限,对文件使用644权限。

由于WordPress文件不断更新,更改和添加新内容,因此作为WordPress安全扫描的一部分,定期审核网站文件,查找不良权限以维护安全的环境。

如果要快速运行审核,可以从SSH运行此命令以查看当前工作目录中不遵循WordPress准则的文件权限的所有文件:

find . -type f ! -perm 0644; find . -type d ! -perm 0755

13.禁用PHP错误报告
禁用PHP错误报告可防止黑客获取有关您的网站及其所处环境的重要信息。

黑客攻击中的一种常见技术是查看文件显示错误,以识别操作系统,服务器上的网站路径,甚至正在运行的应用程序。

例如,假设您访问网站上返回此错误的文件:

警告:无法修改标头信息–已在/ home / jchilcher /中发送过标头(输出始于/home/jchilcher/public_html/wp-content/plugins/twitter-profile-field/twitter-profile-field.php:28)。第571行的public_html / wp-includes / option.php。

该错误已经告诉我服务器正在使用带有cPanel的Linux,并且它是该cPanel帐户的主域,网站正在使用twitter-profile-field插件。我现在知道从哪里开始寻找漏洞并在哪里利用它们。

解决此问题的方法与其他方法一样容易。创建或修改该站点的php.ini,并确保关闭指令display_errors。您可以通过添加以下行来做到这一点:

display_errors = Off

设置生效后,通常会在页面上显示的任何错误都将消失。

14.制定备份计划
最后,我认为与WordPress安全扫描有关的任务是最重要但仍被忽略的任务。当我说备份计划时,我是认真的。如果最坏的情况成为现实,并且您的网站成为恶意软件的宿主,则您应该已经制定了如何恢复网站的计划。

在大多数情况下,我拒绝定期备份其站点的客户最终对此感到遗憾。没有干净的备份,被黑客入侵的站点可能永远都不会干净,而无需重新启动。

关于WordPress安全扫描的总结
我提供的说明绝不是安全工具和方法的完整列表,也不会使您的网站变得防弹。技术安全是一个不断发展的领域。新的保护方法正在不断发展。通过定期的WordPress安全扫描来减少攻击和审核文件的途径,您至少可以保持领先地位,并确保如果有人要攻击您,那将不会容易。

地址 · ADDRESS

地址:建邺区新城科技园嘉陵江东街18号2层

邮箱:309474043@qq.Com

点击查看更多案例

联系 · CALL TEL

400-8793-956

售后专线:025-65016872

业务QQ:309474043    售后QQ:1850555641

© 2020 南京安优网络科技有限公司 版权所有   苏ICP备12071769号-4  网站地图