2024 年,94% 的成功黑客攻击都针对 WordPress 网站。然而,我们可以说 WordPress 在 CMS 市场中占有最大的份额(近 60%),10 次攻击中有 9 次仍然很高。
这是否意味着 WordPress 不安全?
如果 WordPress 不安全,那它怎么会如此受欢迎呢?
在本文中,我将探讨这个问题:WordPress 安全吗?
任何软件都有可能遭受恶意攻击和数据盗窃。构建一个完美的安全软件是不可能的。攻击是一回事,所有软件中都存在大量错误、功能流程和意外问题。
有一支庞大的开发团队不断努力确保 WordPress 的安全。但问题是 WordPress 并不是一个孤立的单元。
网站所有者使用许多插件、主题、自定义代码和脚本来运行他们的网站。
所以第一个问题是:WordPress 生态系统是否安全?
答案是:
WordPress 生态系统非常庞大,而且非常活跃。里面有各种各样的人。由于是开源代码,任何人都可以阅读它,并探索它以发现任何漏洞。如果不是 WordPress,大多数主题和插件也是开源的,黑客可以轻松阅读代码以找出弱点。
但这并不意味着 WordPress 不安全。就安全性而言,WordPress 生态系统与其他生态系统一样。问题是它非常庞大,所以这里的一切都数量庞大。无论是白帽开发人员还是黑帽开发人员。
现在的问题是:WordPress 安全吗?
我将把 WordPress 分为 4 个组件,并向您介绍每个组件的安全问题。
WordPress 核心安全
是的。我们可以肯定地说 WordPress 核心是安全的。
然而,存在错误和问题,但 WordPress 背后工作的团队是最好的。
WordPress 核心只有一个,并且由专家维护其安全性。
当出现错误并且团队发现问题时,他们会修补并发布新版本。WP 人员每年发布几次升级,每次升级都有更多功能(安全性和功能性)。
您应该始终保持 WordPress 更新至最新版本。
正如我所提到的,任何人都可以阅读 WordPress 代码来查找漏洞。团队一发现漏洞就会立即修补并发布新版本。如果您继续使用过时的版本,黑客就可以找到它并利用它来窃取您的网站。
保持 WordPress 核心更新,它将保持安全。您可以采取其他措施来确保网站安全:
- 使用强密码登录。
- 实施双因素身份验证。
- 使用安全插件来加强 WordPress 的安全性。
- 添加 SSL 证书以在安全的 HTTPS 上加载您的网站。
- 通过更改登录 URL 来保护您的登录页面
WordPress 插件安全
WordPress 插件是 WordPress 网站被黑客攻击的最主要原因。近 80% 的网站被黑客攻击都是由某个插件引起的。
WordPress CMS 之所以受欢迎,是因为其插件灵活且易于使用。插件与 WordPress 集成,通常会为网站带来可利用的漏洞。
去年,一款流行的插件 Elementor 出现漏洞,黑客可以利用该漏洞在网站上创建用户帐户。Elementor 出自一支受人尊敬的开发团队,也是社区中知名的插件。
大部分WP插件都是第三方的,没有办法规范它们的编码质量。不过,插件必须达到一定的质量水平才能进入WordPress官方存储库。
尽管如此,它并不能保证插件是安全的。插件对于 WordPress 的运行至关重要,没有办法绕过它们。
可以安全地假设没有 WordPress 插件是安全的,但我们可以说一个插件比另一个更安全。
您必须明智地选择插件并只安装您需要的插件。
您可以采取一些措施来保护网站免受可利用的插件黑客攻击:
- 始终从信誉良好的来源下载插件。
- 尽量避免使用第三方插件,仅从插件目录安装插件
- 保持插件更新至最新版本
- 删除不活动的插件并将其删除
WordPress 主题安全
与插件类似,大多数 WordPress 主题都是由第三方卖家制作的。WordPress 主题是 WordPress 被黑客攻击的第二大原因。
第三方主题不受 WordPress 监管或批准。任何人都可以创建并开始销售。要进入 WordPress 主题目录,主题必须通过代码质量网站。
建议从目录下载主题,而不是从第三方下载。同样,它不能保证安全,但目录主题通常比第三方主题更安全。
您可以采取一些措施来防止主题被黑客入侵并保护您的网站:
- 从知名的构建器下载主题。不要选择新的主题开发人员,因为他们不遵守(或不了解)WordPress 指南,并且制作的代码非常糟糕。那里的主题可能更便宜,但不安全。最好从目录中免费下载。
- 许多网站免费提供昂贵的主题。他们通常会添加一些代码,并可以通过 JSON 对您的网站进行更改。切勿下载修改过的主题文件。
- 保持主题为最新版本,并尽快更新。每当主题开发人员发现任何可被黑客利用的错误时,他们就会对其进行修补并发布新版本。网站管理员应尽快更新主题。
WordPress 托管安全
您可以从自己这边正确地完成所有操作,但是 WordPress 是多方共同努力创建网站的组合。
其中之一是 WordPress 托管提供商。WP 是开源的,必须托管在服务器上,网站才能上线。
有很多 WordPress 托管服务提供商,声称自己安全、快速且功能强大。
安全性取决于您购买的服务器类型。
共享主机:许多 WordPress 主机共享同一个服务器和 IP。每个站点的资源有限。如果一个站点受到攻击,其他站点也会受到影响。这是最不安全的 WordPress 主机。
云托管:云托管也是共享托管,但每个站点都有自己的容器。每个容器都有自己的资源,并且不会与其他站点共享。云托管安全、可靠且可扩展。
专用主机:专用主机是指专用于一个 WordPress 站点的完整物理服务器。这是托管 WordPress 的一种强大且最安全的方式。
获取 WordPress 托管之前的措施:
- 检查他们的安全措施。托管服务提供商如何应对黑客攻击?
- 询问他们如果网站被黑客入侵会发生什么?
- 有每日备份吗?
- 托管服务提供商是否有主动监控?
- 实时聊天支持怎么样?
总结
“WordPress 安全吗?”的答案是否定的。涉及的参与方太多,没有人可以为安全问题承担全部责任。
甚至网站所有者也必须积极地确保网站的安全,通过使用强密码并更新主题和插件。
WordPress 并不安全,被黑客攻击的风险始终存在。我们无法消除这种风险,但可以将其降低到最低限度。
除了我所建议的一切之外,我还建议您在网站上准备好备份插件并每天进行备份。这样,如果发生任何不幸的事情,您就可以快速恢复您的网站。
这是我对于品牌独立站,尤其是WordPress建站的全部分享
我写了份一万多个字的Wordpress 建站指南
湘公网安备43020002000238