晋江网站开发:WordPress插件漏洞及其解决方法

2019.04.29 |
标签

你努力工作使你的网站很棒。在你投入这么多工作之后,你最不想做的事就是把你的网站丢给某个恶意黑客。当涉及到黑客和WordPress时,插件漏洞是坏人最容易进入的方法之一。

由于受欢迎,WordPress是黑客的一块磁铁。根据Sucuri的2016年第一季度网站HackedTrend报告,78%的被黑网站他们负责管理WordPress。基于WordFence调查,55.9%的WordPress黑客已知的入口点是插件漏洞的结果。这使得插件成为到目前为止已知最大的黑客WordPress网站贡献者。

晋江网站开发在这篇文章中,我将仔细研究一下你可以采取的一些积极主动的步骤,以防止你的网站容易受到插件的攻击。

为什么黑客想要访问你的WordPress网站?

如果你从未被黑客攻击过,你可能会想知道是什么让黑客对你的WordPress网站如此感兴趣。对我来说,这是为了让他们能把我的访客转到简略的制药网站。但这并不是他们想加入的唯一原因。

但在我谈到其他原因之前,让我们先从一些让你感觉好点的事情开始吧。可能不是私人恩怨。大多数黑客只是在寻找已知的漏洞。这是典型的犯罪机会,而不是激情。

一旦他们晋江网站开发找到了一个易受攻击的目标,他们就会以几种方式攻击:

  • 注入链接,人为地提高他们的网站的搜索引擎优化。
  • 将您的访问者重定向到不同的站点。讨厌的重定向不会影响你-所以你可能永远不会知道,直到你看到你的统计数字消失。
  • 在访客的电脑上安装恶意软件。
  • 窃取服务器资源用于垃圾邮件、DDoS攻击或其他邪恶目的。

不过,你不必成为受害者。支持作为漏洞向量的插件,以及实现其他基本WordPress安全提示可以保护你不受这些攻击。你可以保持你的网站顺利进行。

如何减轻插件的安全性问题

虽然某些东西总是有可能从裂缝中溜出来,但遵循这些插件安全最佳实践将大大有助于确保WordPress站点的安全。

使用质量安全插件

我们写了很多关于安全插件所以我不会太在意这一点。但是,如果一个易受攻击的插件设法通过漏洞,使用一个著名的安全插件可以保护您的站点。

别把它当作你唯一的防线。但作为最后一道防线。这是绝对必须的。

检查插件是否存在已知的漏洞

如果您正在安装一些流行的东西,如AKismet,您可以安全地跳过这一步。但是,如果您正在安装一个只有几千个活动安装的插件,那么在让它在您的服务器上疯狂运行之前,您应该检查是否存在任何已知的漏洞。

要搜索已知的漏洞,可以使用名为WPScan漏洞数据库。它由WPScan运营,并由Sucuri赞助,他对WordPress安全有一点了解。

您可以按字母顺序筛选插件,也可以按名称搜索插件:

晋江网站开发

该网站将提供您的利用和日期,它是被发现的。它还将提供易受攻击版本的版本号。如果插件已经发布了补丁,您可能不再需要担心漏洞。

确保将插件更新为…

WordPress使更新插件变得非常简单。尽管如此,太多的人离开了他们的核心,插件和主题过时。在……里面苏库里分析,他们查看的受黑客攻击的WordPress网站中有56%是过时的软件。

在他们的分析中,他们发现只有三个过时的插件在他们所访问的所有受损害的WordPress站点中占了25%。如果您想知道,在分析时,这些插件是引力形式、RevSlider和TimThumb.

图像Sucuri Hackeded网站报告

不要因为过时的插件而让WordPress网站遭到黑客攻击。从字面上讲,您所需要做的就是查找红色更新通知并单击一个按钮!

…并确保开发人员也这样做。

不过,探戈需要两个人!如果一个插件的开发人员没有保持它的最新,你也不能保持它的最新。因此,在决定在您的站点上使用哪个插件时,请尝试查找那些定期从开发人员那里获得更新的插件。

例如,在WordPress.org目录上,您可以快速判断插件上次更新的时间:

但这不是你唯一该看的东西。如果您转到Changelog选项卡,您可以查看完整的更新历史记录(尽管没有确切的日期)。如果开发人员不断推出更新来修复bug,那么他们更有可能修补任何潜在的漏洞:

晋江网站开发

保持在新漏洞的顶端

我肯定你是个很忙的人,所以我不想在你的盘子里加太多东西。但是,每隔几周花点时间来了解最新的插件漏洞,可以帮助您确保您没有运行可利用的插件。

我刚才提到的网站甚至都不费时,WPScan漏洞数据库,还列出了最近发现的所有漏洞:

一个月来一两次,然后快速检查一下。

WP酒馆此外,在流行的WordPress插件中,通常还会发布关于新漏洞的文章,这使它成为保持最新的另一个很好的资源。

小心目录中没有列出的第三方插件。

晋江网站开发在WordPress.org插件目录或代码峡谷这样的其他主要目录中列出并不能保证插件是安全的。但它至少是一个标志,插件已经通过了一些基本检查。

例如,人类审查提交到WordPress.org的每个插件。根据皮平·威廉姆森2014年.

虽然漏洞总是有可能通过,但是这个评审过程为您找到一个安全插件提供了更好的机会。

也就是说,著名的第三方插件是存在的。如果一个插件来自一个著名的开发人员(比如优雅的主题!),我并不想让你放弃使用它。要特别小心的插件,从未知的开发人员,没有列出在流行的目录。

如果您正在使用带有漏洞的插件,该怎么办?

如果发生了不幸的情况,您发现自己使用了一个具有已知漏洞的插件,下面是要做的事情:

第一,检查最新情况。如果它是一个支持良好的插件,开发人员将很快推出一个修复程序。一旦修复出来,立即更新易受攻击的插件。一分钟后。

第二,如果没有更新,而且开发人员似乎对这个问题没有反应,禁用插件。我知道要禁用你所依赖的插件并不容易,但是当你的网站被攻击时,你真的别无选择。

有时,您可能可以使用具有较低权限的WordPress帐户(例如作者或编辑器)溜冰。例如,如果漏洞需要管理会话,如最近的W3总缓存漏洞,使用权限较低的帐户可以绕过此问题。但是这种方法并不能解决所有的漏洞,所以买家要小心。

包起来

每个网站管理员最可怕的噩梦是被黑。但是,借助这些积极主动的插件安全措施,再加上定期备份和良好的一般安全实践,您可以加强您的网站,降低您被利用的机会。

记住:

  • 随时更新
  • 检查已知漏洞
  • 不安装阴插件


相关推荐

晋江网站开发:WordPress插件漏洞及其解决方法
 

晋江网站开发:WordPress插件漏洞及其解决方法

你努力工作使你的网站很棒。在你投入这么多工作之后,你最不想做的事就是把你的网站丢给某个恶意黑客。当涉及到黑客和WordPress时,插件漏洞是坏人最容易进入的方法之一。由于受欢迎,WordPress是黑客的一块磁铁...
2019.04.29
晋江企业网站开发:如何在WordPress中添加Screencast
 

晋江企业网站开发:如何在WordPress中添加Screencast

想通过WordPress提供高质量的教育内容吗?一个很好的方法就是给WordPress添加屏幕。无论您需要教育您的客户或您的网站访问者,屏幕是一个极好的选择。晋江企业网站开发在这篇文章中,我将讨论屏幕的一些好处,以...
2019.04.29
晋江定制网站:WordPress文章和页面过滤的最终指南
 

晋江定制网站:WordPress文章和页面过滤的最终指南

如果你曾经在亚马逊上购物过,很可能你已经意识到过滤器的强大力量,能够深入到大量的内容中,准确定位你想要的内容。当在Amazon上搜索产品时,总是会有一个侧栏,它会帮助您改进搜索,只返回满足您最重要需求的结...
2019.05.14
晋江高端网站开发:如何在单击按钮时使Bloom选择窗体弹出
 

晋江高端网站开发:如何在单击按钮时使Bloom选择窗体弹出

现在很难想象没有选择形式的互联网。我们使用他们在我们的网站上有两个主要原因,特别是:获得订户或产生引线。找到一个正确的方式来接近你的听众选择的形式可能是一个真正的挑战。有些人想安全行事,不想让访客觉得...
2019.05.14

最新文章

晋江高端网站开发:如何在单击按钮时使Bloom选择窗体弹出
 

晋江高端网站开发:如何在单击按钮时使Bloom选择窗体弹出

现在很难想象没有选择形式的互联网。我们使用他们在我们的网站上有两个主要原因,特别是:获得订户或产生引线。找到一个正确的方式来接近你的听众选择的形式可能是一个真正的挑战。有些人想安全行事,不想让访客觉得...
2019.05.14
晋江定制网站:WordPress文章和页面过滤的最终指南
 

晋江定制网站:WordPress文章和页面过滤的最终指南

如果你曾经在亚马逊上购物过,很可能你已经意识到过滤器的强大力量,能够深入到大量的内容中,准确定位你想要的内容。当在Amazon上搜索产品时,总是会有一个侧栏,它会帮助您改进搜索,只返回满足您最重要需求的结...
2019.05.14
晋江企业网站开发:如何在WordPress中添加Screencast
 

晋江企业网站开发:如何在WordPress中添加Screencast

想通过WordPress提供高质量的教育内容吗?一个很好的方法就是给WordPress添加屏幕。无论您需要教育您的客户或您的网站访问者,屏幕是一个极好的选择。晋江企业网站开发在这篇文章中,我将讨论屏幕的一些好处,以...
2019.04.29
晋江网站开发:WordPress插件漏洞及其解决方法
 

晋江网站开发:WordPress插件漏洞及其解决方法

你努力工作使你的网站很棒。在你投入这么多工作之后,你最不想做的事就是把你的网站丢给某个恶意黑客。当涉及到黑客和WordPress时,插件漏洞是坏人最容易进入的方法之一。由于受欢迎,WordPress是黑客的一块磁铁...
2019.04.29

热门推荐

选择您希望晋江网站设计成品的风格偏好,让我们通过精确的分析与筛选,为您推荐合适的版式布局,
为此,您可以节省最基本的沟通时间,
让我们把有限的时间,充分的用在对行业的分析及您企业网站建设的自身分析上吧
联系电话 400-6065-301

微信咨询 寒总监