保护WordPress安全的专家建议

作为网络上使用最广泛的内容管理系统，WordPress在很大程度上依赖于插件和附加软件，这要求在各个层面都要采取严谨的安全措施。

至于如何确保WordPress网站的安全，取决于您是在讨论托管在 WordPress.com（托管提供商）上的网站，还是在讨论托管在不同服务器上的 WordPress 内容管理系统（CMS）上运行的网站。无论如何，鉴于 WordPress 在网络上的巨大影响力，这是一个非常重要的课题。

根据调查网站 W3Techs 的数据，在网络上排名前 1000 万的网站中，有 38% 以上使用了 WordPress。当任何的单一产品被超过三分之一的网络使用时，其安全性就显得尤为重要。鉴于 WordPress 的结构，其中许多功能都是通过插件和附加软件实现的，因此安全的细节很可能体现在最佳实践中，而不是硬性规定上。

在考虑WordPress安全性时，我们关注的是广泛使用的WordPress安装基础，而不是托管在WordPress.com上的站点。

WordPress的安全性始于其所选择的安全托管提供商。每个托管提供商都有独特的功能和附加服务，WordPress管理员需要了解这些服务的提供范围，以及这些由托管提供的服务如何支持或与单独添加的安全功能冲突。以Cloudflare为例，它通过代理机制向客户提供内容交付网络（CDN）、DNS和反DDoS服务，包括免费和付费版本。但需要注意的是，这种方式可能导致由托管提供的DNS和DDoS服务与Cloudflare的服务不兼容。因此，在选择托管提供商和附加服务时，管理员需慎重考虑各项功能的兼容性与支持程度。

K2 Cyber Security的市场营销副总裁Timothy Chiu强调，组织需要更加认真地对待应用程序安全，首先要保护像OWASP Top 10中那些众所周知的问题。

WordPress在其关于WordPress安全的白皮书中提及了OWASP Top 10，并提供了相应漏洞的对策措施。

SaltStack的市场营销副总裁Ryan Smith指出，保持与补丁同步至关重要，即使WordPress本体是最新的，一些常见的插件可能仍然容易受到攻击，需要立即进行补丁更新。

PerimeterX的安全传道者Ameet Naik补充表示，尽管使用最新版本更新插件很重要，但这并不能保证第三方代码的完整性。

nVisium的应用安全顾问Leo Pate表示：“在WordPress中使用的任何插件或模板都应来自信誉良好的来源，并且要保持更新。”

需要考虑的因素

在考虑WordPress插件和模板时，团队应该关注以下因素：插件的最后更新时间、来自开发人员和用户的评论和评价，以及插件被下载的次数。此外，插件的支持群体的规模也是一个重要考虑因素。由于WordPress使用HTML、CSS、PHP和Javascript编写，许多插件是个人开发者的作品。尽管这并非天生危险，但一些管理员提醒说，当一个单一的开发者维护代码库时，漏洞的发现和修复可能需要更长的时间。

Pate补充指出：“组织需要全面看待他们的WordPress环境，并在每个层面都采取严格的安全措施。”

除了保持软件更新外，他建议：“不要将WordPress服务器的服务运行为管理员用户，应更改WordPress实例以及数据库凭据的默认用户凭据，并确保服务器仅允许通过TLSv1.2或TLSv1.3进行连接。用于这些连接的密码应提供完美的前向保密，并且域名应参与证书透明度。”

WordPress管理员的在线论坛中强调选择安全插件的重要性

在WordPress在线论坛中，管理员强调选择专注于安全的插件以帮助保护其安装的重要性。常见的安全插件包括Securi和Wordfence，它们提供恶意软件扫描、登录尝试限制和Web应用程序防火墙等功能。其他安全插件专注于单一问题，如身份验证证书保护和防范暴力攻击。

然而，由于安全插件的广泛性，其安装和部署可能与其他WordPress插件一样复杂。Chiu强调，对于WordPress安装，保持代码的更新并及时打补丁是减少漏洞的最简单措施。他建议确保只启用和使用站点所需的插件，并确保站点具有完整的安全性，包括边缘安全、运行时应用程序安全和服务器安全。

文章来源：https://www.darkreading.com/cyber-risk/expert-tips-to-keep-wordpress-safe