保護您的 WordPress 網站免受勒索軟件的侵害

WordPress 是世界上最受歡迎的 CMS。 雖然這通常是一件好事，但它也可能使 WordPress 成為尋求廣泛影響的惡意軟件的目標。

不幸的是，由於多年來網絡攻擊變得更大規模和更具可擴展性，從長遠來看，在線業務受到攻擊通常不是“是否”而是“何時”的問題。 而最近勒索軟件攻擊的高度宣傳成功意味著這種趨勢可能會持續下去。

話雖如此，您可以採取很多步驟來使您的網站更不容易受到常見攻擊。

了解風險

勒索軟件是攻擊者在利用漏洞獲取訪問權限後安裝在您的服務器或計算機上的軟件。 安裝後，該軟件通常會立即自動執行，或者在休眠一段時間後自動執行。

直到幾年前，勒索軟件攻擊通常針對 Windows 工作站。 然而，在 2017 年，分析師開始記錄對 WordPress 網站的攻擊事件有所增加。

軟件執行後，勒索軟件會使用強大的加密功能鎖定您的所有文件，拒絕您訪問。 相反，你剩下的是一個要求支付贖金的界面——通常是無法追踪的比特幣——以解鎖文件。

支付贖金

近年來，全球許多知名企業甚至城市都受到了影響。 6 月，佛羅里達州的萊克城向控制了他們計算機系統的黑客支付了 50 萬美元的贖金。

但是支付贖金並不能保證黑客會解密您的數據。 即使他們這樣做了，他們也可以留下部分軟件，以便以後再次加密您的文件。

在某些情況下，該軟件會創建一個 .php 文件，其中包含一個用於解鎖加密文件的接口。 但是，此文件不起作用，即使您確實獲得了訪問權限，您也需要熟練的 WordPress 開發人員來修復所有損壞的代碼。

保持一切更新

將 WordPress 以及任何主題和插件更新到最新版本是保護您的網站免受勒索軟件侵害的最簡單方法。 這些更新包括開發人員提供的最新安全補丁等。

黑客一直在尋找要利用的漏洞。 一旦確定了這些，開發人員就會發布補丁來修復這些問題。 過時的 WordPress 版本存在一個巨大的漏洞，因為它們不會被開發來抵禦最新的安全威脅。

您還應該定期檢查您的主機 PHP 和 MySQL 版本是否是最新的。 一個好的 WordPress 代理會負責為您更新所有內容，讓您不必擔心。

防止蠻力攻擊

顧名思義，蠻力攻擊是一種簡單的攻擊，其中機器人試圖每分鐘使用數百個用戶名和密碼組合訪問您的網站，直到它們正確為止。

這些攻擊的直接性質使它們相對容易通過禁止 IP 地址嘗試使用不正確的登錄詳細信息多次訪問您的站點來防止它們。 但是如果沒有這個簡單的保護層，機器人可以不斷嘗試獲取訪問權限，直到成功。

Limit Login Attempt Reloaded 是一個插件，允許您通過登錄頁面和 cookie 限制登錄嘗試的次數。

設置強訪問安全性

聽起來很明顯，使用簡短的、可猜測的單詞——或者更糟糕的是，“密碼”——因為你的密碼會讓你的 WordPress 網站變得非常脆弱。

但即使是使用時間過長或用於太多不同應用程序的強密碼也可能容易受到攻擊。 我們建議使用密碼生成器（例如 1Password）為每次登錄創建和安全地存儲強而唯一的密碼。

或者，您可以使用 Google Authenticator 為您的 WordPress 登錄添加 2 因素身份驗證。 可以在每個用戶的基礎上啟用這一額外的安全層，允許特權較低的用戶角色繼續使用密碼登錄。

安裝 SSL 證書

SSL 證書確保在您的計算機和瀏覽器之間傳遞的所有數據都經過加密，從而使黑客更難攔截連接。

WP Engine 等託管 WordPress 託管服務提供商的所有託管計劃都包含自動 SSL 證書安裝和更新。

更改 WordPress 數據庫前綴

WordPress 使用默認的數據庫前綴，使用此前綴會使您的網站容易受到 SQL 注入攻擊。 這可以通過將默認 wp- 前綴更改為另一個詞來防止。

如果您已經使用默認前綴安裝了 WordPress，請不要擔心。 有許多插件仍然可以讓你改變它——只要確保你先備份所有東西，以防出現任何問題。

關閉文件編輯

如果黑客設法訪問您的管理 WordPress 儀表板，他們將能夠編輯您的 WordPress 安裝中的任何文件。

因此，設置強大的訪問安全性是第一道防線。 但是，通過關閉文件編輯，黑客將無法修改您的任何文件，即使他們可以訪問您的儀表板。

這是通過完全限制 theme-editor.php 文件並從 CMS 中刪除主題編輯選項來完成的。

附加措施

其他安全措施包括始終遵循 WordPress Codex 中概述的最佳實踐開髮指南。 理想情況下，您還應該對您的代碼進行同行評審，因為這有助於提高整體質量，並可以根除任何被忽視的錯誤或漏洞。

您還應該檢查您網站上的所有表單是否受到 SQL 注入和跨站點腳本的保護，並禁用 XMLRPC。

提高訪問安全性的一種簡單方法是防止黑客知道您的用戶名，因為這意味著他們只需找到您的密碼即可獲得訪問權限。 您可以通過刪除名為“admin”的用戶並限制 WP-JSON 默認端點以隱藏所有其他用戶名來做到這一點。

您還可以通過運行 Sucuri 等應用程序為您的服務器提供額外的安全層，該應用程序會持續掃描漏洞。

定期備份您的網站

許多公司最終向黑客支付贖金的主要原因之一是他們沒有良好的備份，這意味著贖金的成本將低於丟失所有數據的成本。

有了備份，你擁有的越多越好。 如果備份存儲在本地驅動器上，勒索軟件攻擊也可以加密您的備份。 您可以在服務器上備份數據，但存儲在單獨位置的異地備份更加安全。

託管 WordPress 主機通常提供服務器端備份作為其託管計劃的一部分。

結論

雖然您可能無法徹底阻止所有攻擊（尤其是在您的公司成為目標的情況下），但您可以採取許多步驟來確保您的網站不會成為黑客的輕鬆選擇。

勒索軟件的規模和復雜性一直在增長，但黑客——就像大多數犯罪分子一樣——也是機會主義者，確保您的網站不像大多數人那樣容易受到攻擊仍然是保證數據安全的最佳方式。

如果您想討論 WordPress 網站的安全性以及如何改進它，請與我們聯繫。