保护您的 WordPress 网站免受勒索软件的侵害

WordPress 是世界上最受欢迎的 CMS。 虽然这通常是一件好事，但它也可能使 WordPress 成为寻求广泛影响的恶意软件的目标。

不幸的是，由于多年来网络攻击变得更大规模和更具可扩展性，从长远来看，在线业务受到攻击通常不是“是否”而是“何时”的问题。 而最近勒索软件攻击的高度宣传成功意味着这种趋势可能会持续下去。

话虽如此，您可以采取很多步骤来使您的网站更不容易受到常见攻击。

了解风险

勒索软件是攻击者在利用漏洞获取访问权限后安装在您的服务器或计算机上的软件。 安装后，该软件通常会立即自动执行，或者在休眠一段时间后自动执行。

直到几年前，勒索软件攻击通常针对 Windows 工作站。 然而，在 2017 年，分析师开始记录对 WordPress 网站的攻击事件有所增加。

软件执行后，勒索软件会使用强大的加密功能锁定您的所有文件，拒绝您访问。 相反，你剩下的是一个要求支付赎金的界面——通常是无法追踪的比特币——以解锁文件。

支付赎金

近年来，全球许多知名企业甚至城市都受到了影响。 6 月，佛罗里达州的莱克城向控制了他们计算机系统的黑客支付了 50 万美元的赎金。

但是支付赎金并不能保证黑客会解密您的数据。 即使他们这样做了，他们也可以留下部分软件，以便以后再次加密您的文件。

在某些情况下，该软件会创建一个 .php 文件，其中包含一个用于解锁加密文件的接口。 但是，此文件不起作用，即使您确实获得了访问权限，您也需要熟练的 WordPress 开发人员来修复所有损坏的代码。

保持一切更新

将 WordPress 以及任何主题和插件更新到最新版本是保护您的网站免受勒索软件侵害的最简单方法。 这些更新包括开发人员提供的最新安全补丁等。

黑客一直在寻找要利用的漏洞。 一旦确定了这些，开发人员就会发布补丁来修复这些问题。 过时的 WordPress 版本存在一个巨大的漏洞，因为它们不会被开发来抵御最新的安全威胁。

您还应该定期检查您的主机 PHP 和 MySQL 版本是否是最新的。 一个好的 WordPress 代理会负责为您更新所有内容，让您不必担心。

防止蛮力攻击

顾名思义，蛮力攻击是一种简单的攻击，其中机器人试图每分钟使用数百个用户名和密码组合访问您的网站，直到它们正确为止。

这些攻击的直接性质使它们相对容易通过禁止 IP 地址尝试使用不正确的登录详细信息多次访问您的站点来防止它们。 但是如果没有这个简单的保护层，机器人可以不断尝试获取访问权限，直到成功。

Limit Login Attempt Reloaded 是一个插件，允许您通过登录页面和 cookie 限制登录尝试的次数。

设置强访问安全性

听起来很明显，使用简短的、可猜测的单词——或者更糟糕的是，“密码”——因为你的密码会让你的 WordPress 网站变得非常脆弱。

但即使是使用时间过长或用于太多不同应用程序的强密码也可能容易受到攻击。 我们建议使用密码生成器（例如 1Password）为每次登录创建和安全地存储强而唯一的密码。

或者，您可以使用 Google Authenticator 为您的 WordPress 登录添加 2 因素身份验证。 可以在每个用户的基础上启用这一额外的安全层，允许特权较低的用户角色继续使用密码登录。

安装 SSL 证书

SSL 证书确保在您的计算机和浏览器之间传递的所有数据都经过加密，从而使黑客更难拦截连接。

WP Engine 等托管 WordPress 托管服务提供商的所有托管计划都包含自动 SSL 证书安装和更新。

更改 WordPress 数据库前缀

WordPress 使用默认的数据库前缀，使用此前缀会使您的网站容易受到 SQL 注入攻击。 这可以通过将默认 wp- 前缀更改为另一个词来防止。

如果您已经使用默认前缀安装了 WordPress，请不要担心。 有许多插件仍然可以让你改变它——只要确保你先备份所有东西，以防出现任何问题。

关闭文件编辑

如果黑客设法访问您的管理 WordPress 仪表板，他们将能够编辑您的 WordPress 安装中的任何文件。

因此，设置强大的访问安全性是第一道防线。 但是，通过关闭文件编辑，黑客将无法修改您的任何文件，即使他们可以访问您的仪表板。

这是通过完全限制 theme-editor.php 文件并从 CMS 中删除主题编辑选项来完成的。

附加措施

其他安全措施包括始终遵循 WordPress Codex 中概述的最佳实践开发指南。 理想情况下，您还应该对您的代码进行同行评审，因为这有助于提高整体质量，并可以根除任何被忽视的错误或漏洞。

您还应该检查您网站上的所有表单是否受到 SQL 注入和跨站点脚本的保护，并禁用 XMLRPC。

提高访问安全性的一种简单方法是防止黑客知道您的用户名，因为这意味着他们只需找到您的密码即可获得访问权限。 您可以通过删除名为“admin”的用户并限制 WP-JSON 默认端点以隐藏所有其他用户名来做到这一点。

您还可以通过运行 Sucuri 等应用程序为您的服务器提供额外的安全层，该应用程序会持续扫描漏洞。

定期备份您的网站

许多公司最终向黑客支付赎金的主要原因之一是他们没有良好的备份，这意味着赎金的成本将低于丢失所有数据的成本。

有了备份，你拥有的越多越好。 如果备份存储在本地驱动器上，勒索软件攻击也可以加密您的备份。 您可以在服务器上备份数据，但存储在单独位置的异地备份更加安全。

托管 WordPress 主机通常提供服务器端备份作为其托管计划的一部分。

结论

虽然您可能无法彻底阻止所有攻击（尤其是在您的公司成为目标的情况下），但您可以采取许多步骤来确保您的网站不会成为黑客的轻松选择。

勒索软件的规模和复杂性一直在增长，但黑客——就像大多数犯罪分子一样——也是机会主义者，确保您的网站不像大多数人那样容易受到攻击仍然是保证数据安全的最佳方式。

如果您想讨论 WordPress 网站的安全性以及如何改进它，请与我们联系。