hmoban 网站安全检查:保护您的网站免受恶意软件和垃圾邮件。
毫不奇怪,安全性已经成为Web开发人员和网站所有者关注的重要问题。随着互联网的普及并成为新的交流、研究和购物的首选方式,网站安全检查对于阻止恶意软件和垃圾邮件的传播至关重要。
无论你经营的是小型个人博客还是大型跨国网上商店,被黑的威胁总是存在的。有些人会破坏你的网站,并在其中嵌入恶意软件,试图窃取你或你的客户的数据,并删除你服务器上的重要内容。你需要保护你自己和你的敏感信息。
让我们看看你的网站现在有多安全。我们还将提供一些关于删除恶意软件作者使用的低挂水果恶意软件的提示。WordPress开箱即用是安全的,但是完全修补它需要一些工作。
网站安全检查:为什么重要?
如何进行网站安全检查?
如何保护您的网站:提示和工具
关于网站安全工具你需要知道什么
网站安全清单
网站安全检查:为什么重要?
你可能认为你的网站很小,不重要,没有人会费心去定位它。或者,也许你以前从未考虑过安全问题,认为它不重要。
这就是为什么在2013年,超过70%的WordPress安装存在漏洞。这些攻击中有许多是由过时的软件引起的——因为大多数人要么不够了解,要么不太关心保护他们的网站,这导致了大量黑客攻击WordPress安装。
2019年过时和更新的CMS的比例
那么,如果你的网站不小心被入侵了会怎么样呢?这不仅仅是一个简单的通过修改密码就可以轻松解决的烦恼。
您的网站可能被注入了代码,导致访问者感染了自己的恶意软件,这可能极难定位和删除。
您的关键页面可能会被污损、空变白或充满非法网站的链接。
可能会导致博文、页面等被删除。
属于您、您的用户或您的客户的敏感信息(如登录信息或信用卡信息)可能会被窃取并在线出售。
攻击可能会蔓延到您服务器上的其他网站。
如果谷歌在你的网站上检测到任何恶意软件,它将阻止其访问并将其从搜索结果中删除,从而破坏你的搜索引擎优化(SEO)努力。
您可以更改管理员帐户的用户名和密码,从而完全阻止您访问后端。
如果经营电商店铺,被黑的网站可能会造成巨大损失。虽然你可能会说你的网站无关紧要,但并不是所有的攻击都是有针对性的。许多WordPress攻击是自动化的——机器人会检测你的网站是否存在漏洞,并在没有人类干预的情况下发动攻击。这就是为什么你需要采取措施来保护你的网站。
WordPress为什么会被黑?
黑客攻击很常见,但是黑客用来入侵你的网站最常见的漏洞是什么?
你可能认为进入网站是一个具有挑战性的过程,需要几天或几周的工作和丰富的计算机、编码和服务器知识。这种情况可能适用于有针对性地试图突破大型、保护良好的网站的防御,但对于小型WordPress域,情况就完全不同了。
绝大多数对WordPress的攻击是成功的,因为人们使用容易猜到的密码,并且不更新他们的主题和插件。黑客使用自动化程序闯入大多数这样的网站。
密码开心是最简单的黑客形式,但它很常见,因为它很有效。许多人将他们的WordPress登录名保留在默认的“administrator”上,消除了一半的猜测,然后使用一个简单的、可猜测的密码。如果失败,黑客将利用流行插件或过时WordPress版本中的常见漏洞。这就是为什么保持一切更新是如此重要。
还有很多更复杂更复杂的方法可以闯入网站。然而,大多数WordPress攻击使用不安全的密码和过时的软件,这使得进入网站非常容易。
如何进行网站安全检查?
保护网站的第一步:确定网站的安全程度。您的后端是否有任何明显的漏洞需要立即修复,或者您现在可以进行任何简单的修复吗?
使用在线工具
检查你的网站是否有恶意软件和漏洞的一个快速简单的方法是使用在线扫描仪。这些远程扫描您的网站,并确定常见的问题。它非常方便,因为它不需要任何软件或插件,只需要几秒钟。
网上有几十种扫描仪。我们将在下面的工具部分列出一些其他工具,但是现在,让我们选择一个易于使用的流行扫描工具:Sucuri SiteCheck。
Sucuri站点检查
这个工具是一个很好的选择,因为你可以安装Sucuri插件,并立即修复它检测到的任何问题(参见:so curi的介绍和使用教程,一个WordPress安全插件)。
在扫描你的网站后,Sucuri会根据阻止列表进行检查,寻找明显的问题,如注入的垃圾邮件或过时的软件,并简要扫描它可以访问的任何代码,以找到恶意软件。它还提供了一些建议,以加强您的网站免受攻击。
使用Sucuri插件扫描网站
此类工具是检测隐藏的恶意软件和其他问题的绝佳起点。
用WordPress插件扫描你的网站
在线扫描器虽然效果不错,但最好安装一个插件,可以深挖代码的根源,找出漏洞或难以检测的恶意软件。
我们已经提到苏库里是一个选择。还有两个比较流行的安全插件:All in One WP Security & Firewall,插件库中下载量最多的Wordfence安全插件(参考阅读:WordPress安全插件WordFence的介绍和使用教程)。
一旦你安装了你选择的插件,它可能会指示你立即运行扫描。这些插件相对于远程扫描仪的优势在于,它们可以删除恶意软件并自动进行更改。
寻找奇怪的变化
如果您怀疑或知道您的网站感染了恶意软件,有时会很难找到源头。以下是您可能会注意到的一些无法解释的变化,以及通常会吸引黑客的文件:
突然链接到一个不是自己加的陌生网站。
您没有创建的新文章和页面,或者现有页面的内容突然被更改。
您尚未对设置进行更改
新用户,特别是有高级权限的用户,你没有添加。
您尚未安装的插件或主题。
恶意软件通常会向您的文件中注入恶意代码。检查插件和主题文件,wp-content/uploads文件夹,WordPress核心文件在错误的目录,wp-config.php和。htaccess。在进行任何敏感的更改之前,您应该备份您的站点并了解代码。
如果您使用FTP连接到您的站点,您可以根据最近修改的文件对不应该存在的代码进行排序。
如果你的站点定期感染恶意软件,而你在文件中找不到任何原因,问题可能出在你的服务器或者服务器上的其他站点。
确保一切都是最新的。
正如我们已经提到的,过时的软件是WordPress中最常见的感染媒介。如果你只能做一件事来确保你网站的安全,那么你应该保持WordPress的更新。
检查网站上所有软件状态的最简单方法是进入仪表板>更新,如果你的核心、主题或插件过期,它会提醒你。
WordPress更新
由于WordPress从5.5版本开始就一直在执行自动更新,所以没有什么应该是过时的,除非你有一个过时的WordPress版本。如果没有,您可以从该屏幕更新所有内容。如果你知道有一个新版本的WordPress,但是没有显示出来,请点击当前版本下面的再次检查按钮。您也可以检查您的插件>已安装的插件或外观>主题页面的更新。
提醒:保持PHP最新非常重要,尤其是使用7.3之前的版本,因为它可能存在严重的安全漏洞。
保护帐户和密码
您的主帐户上的弱密码使任何人都可以很容易地通过暴力开心程序闯入您的站点,从而为他们提供管理员访问权限和更改任何内容的能力。
虽然复杂的密码很难记住,使得登录不太方便,但不得不从黑客手中恢复您的网站更不方便。使用更安全的密码绝对值得,即使你必须写下来。
您的密码应该混合使用大小写字母、数字和符号。最好不要把它建立在字典中的单词或个人的和可预测的信息(如你的地址或家庭成员的名字)上。
在最好的情况下,您的密码将是一长串随机字符。我们强烈建议您使用密码管理器。使用1Password或LastPass等网站生成安全且不可预知的密码。
使用LastPass生成安全密码
你可以进入用户>所有用户或者直接进入用户>个人资料来更新你的密码和邮箱。向下滚动,在联系信息下找到电子邮件,在账户管理下找到新密码。
在WordPress中设置新密码
在“用户”页面上,检查所有用户,确保没有您不认识的用户或没有不适当的权限。您应该立即删除任何具有管理员权限的未识别用户。
我们还鼓励您查看限制用户权限的指南,以便只有您的帐户可以更改您网站上的敏感文件。
请检查您的SSL证书。
如果你的SSL证书已经过期,你通常会立即知道;像谷歌Chrome这样的浏览器会阻止访问你的网站,并发出一个巨大的证书过期警告。如果您不确定或收到了此错误,请检查您的SSL证书以查看它是否是最新版本,以及您是否使用了最新版本的SSL/TLS。
当您访问网站时,您会在大多数浏览器的地址栏中看到一个锁图标。如果您的证书已过期,此锁可能是红色的或被斜线穿过。
点按锁图标,然后再次点按以查看证书信息,包括其到期日期。
检查网站的SSL证书。
您还可以使用SSL证书检查器来扫描您的站点,以确保您的证书没有过期,并且您的SSL协议中没有漏洞。
常见漏洞
许多WordPress网站充满了微小的攻击媒介。这些媒介看似无害,但它们可以提供比你想要分享的更多的信息。
你的前端有一个可见的WordPress版本,可以告诉黑客你的网站存在哪些漏洞。尤其是如果你使用的是WordPress的过时版本,你可能想要隐藏这些信息。你会注意到后端的外观>主题编辑器和插件>插件编辑器下的文件编辑器。
向主题编辑器添加代码
这些工具虽然很方便,但也适合任何人入侵你的网站破坏一些内容,所以你不妨把它们关掉。您可以通过将这个函数添加到wp-config.php中来实现这一点:
define( ‘DISALLOW_FILE_EDIT’, true );
SQL注入是入侵网站的常见方式。如果您有任何表单或其他用户输入,请限制使用特殊字符,只允许上传安全和常见的文件类型。最后,为了提供额外的保护,您可以使用密码保护文件目录。
如何保护您的网站:提示和工具
如果你的网站有恶意软件,一个好的安全插件应该能够消除它。我们已经介绍了一些您需要检查的漏洞。
我们还有其他一些快速提示,可以用来保护您的网站和防止感染。你可以在几分钟内应用这些技巧,所以即使你不熟悉WordPress和网络安全,它们也应该很容易设置。
选择安全主机。
当黑客探索进入您网站的方法时,他们通常会转向服务器来寻找漏洞。那里有很多便宜的托管服务,但他们并不总是投资于最安全的服务器。
共享宿主可能是传染媒介。如果一个网站感染了恶意软件,它可能会传播到服务器上的每个站点。所以你最终可能会得到一个充满病毒和SEO垃圾信息的网站,这甚至不是你的错。
这就是为什么进行研究并选择一个关心安全性并投资于安全服务器的主机非常重要。你仍然需要努力保护你的网站,但是在服务器层面,你的数据是安全的。
打开两步验证(2FA)
两步验证(也称为两步验证或2FA)增加了另一个登录步骤。除了用户名和密码,你或任何冒充你的人都需要另一条信息:一个唯一的附加代码。
可能是发送到你手机上的数字代码,可以让你的WordPress账号几乎被暴力开心。或者,它可能需要电子邮件验证或一条只有你知道的信息。
虽然没有内置的方法来启用两步认证,但许多插件都在WordPress中添加了功能。前面提到的Wordfence安全插件内置了2FA。也可以尝试其他网站安全工具,比如邮件认证的双因素插件或者通过手机验证码两步认证的Duo插件。
Duo两步验证插件
每日备份
备份你的网站不能阻止人们试图闯入,但如果真的发生了什么,备份将是无价的。这可能意味着丢失几周甚至几年的工作和简单地从入侵前恢复到备份之间的区别。
如果您安装了Pagoda Panel,您可以轻松设置自动备份任务。此外,您可以每周创建五个手动备份和一个可下载备份,并且有可选的插件,可以每小时备份一次或导出到云中。
像UpdraftPlus这样的插件也会有所帮助。最好选择至少每天备份一次的服务,以最大限度地减少数据丢失。
使用Web应用程序防火墙
Web应用防火墙或WAF使用严格的规则来过滤传入的流量,将已知与黑客攻击或DDoS攻击相关的IP列入黑名单。它可以防止许多攻击到达您的服务器。虽然您可以在服务器级别应用WAF,但最简单的方法是购买基于云的服务,如Cloudflare或Sucuri提供的服务。
通过SSH或SFTP连接
有时你需要使用FTP连接到你的站点来添加或修改文件。在FTP上用SFTP总是比较好;区别很简单:SFTP是安全的,而FTP不是。
使用FTP,您的数据不会被加密。如果有人设法拦截您和您的服务器之间的连接,他们可以看到从您的FTP登录凭证到您上传的任何文件。总是使用SFTP连接。
您还可以考虑使用SSH访问,它允许您连接到命令提示符并更直接地管理您的站点。它安全可靠,可以远程处理简单的任务。
防止DDoS攻击
DDoS攻击通过向您的服务器发送数千个虚假请求来阻止潜在读者或客户访问您的网站,从而使您的网站缓慢爬行。以下是一些在它们发生之前阻止它们的建议:
DDoS攻击发生时制定预案。当您需要提醒您的web主机并阻止攻击时,您不想惊慌失措。
使用能够检测虚假流量的Web应用程序防火墙。
使用专门定制的反DDoS软件。
停用xmlrpc.php以防止第三方应用程序使用您的服务器。
对一般用户禁用REST API。
防止暴力攻击
暴力攻击类似于DDoS攻击,但它的目标是猜测你的管理员密码并闯入网站,而不是关闭你的服务器。换句话说,这些也会降低你网站的速度。
同样,WAF可以过滤掉机器人流量和明目张胆的暴力企图。
对您的管理员帐户使用两步身份验证。
建立活动日志,密切关注未经授权的登录尝试。
更改登录页面URL并限制登录尝试。
密码保护您的登录页面。
使用随机生成的长密码,并每年更改一次。
关于网站安全工具你需要知道什么
除了我们已经提到的,这里还有一些在线安全工具可以帮助你锁定你的网站:
Intruder.io:扫描最新漏洞。
ServerTest:一个分析您的SSL证书并识别弱点的开发工具。
HTML净化器:过滤掉恶意代码/XSS,如果你已经感染了需要清理的代码,这是非常有用的。
Mozilla Observatory:清除代码中常见漏洞的可行建议。
Sqlmap:一种渗透测试工具,用于识别SQL代码中的漏洞。
检测:在道德黑客的帮助下扫描你的网络应用程序。
基于CLI的WordPress扫描仪。
SonarQube:编写没有安全漏洞的符合标准的代码。
网站安全清单
你的网站安全吗?请确保您已经检查了列表中的几乎所有内容:
你正在使用一个安全、高质量的托管环境吗?
您是否使用插件或在线工具来扫描您的网站上的病毒?
是否安装了活动日志并监控其异常变化?
您和任何拥有高级权限的用户是否使用安全密码和双重身份验证?所有的电子邮件都是正确的吗?
WordPress等底层系统及其主题和插件、PHP是否是最新的?
您的SSL证书是安全的和最新的吗?
你是否检查过无法解释的更改、删除或添加,或者不是你添加到网页、设置或文件中的链接?
您的登录页面是否受到密码和有限登录尝试的保护?
有没有检查过没有添加的新用户?
表单、评论框和其他用户输入来源是否安全?(禁止特殊字符,并将文件上传限制为已知的文件类型。)
是否禁用了xmlrpc.php和REST API来防止DDoS攻击?
你是否在仪表盘中禁用了主题和插件编辑?
你有每日备份服务吗?
你是否设置了网络应用防火墙?
总结
网站安全不是小事,所以如果你还没有掌握它,现在是把它作为第一要务的时候了。被黑客攻击不仅令人讨厌,还可能导致SEO受损、破坏性的数据丢失、失去用户信任,以及恶意软件一次又一次卷土重来。
你不需要成为一个有经验的开发者来采取一些额外的措施来保护你的网站。这从适当的网站安全检查开始。甚至像选择一个更好的密码或切换到一个更安全的主机这样简单的事情也会有所不同。