网络上使用最广泛的内容管理系统严重依赖插件和附加软件——这需要在每个层面都采取严格的安全措施。 保护 WordPress 网站的最佳方法是什么?答案取决于您谈论的是托管在 WordPress.com(托管提供商)上的网站,还是托管在不同服务器上的 WordPress 内容管理系统 (CMS) 上运行的网站。无论哪种方式,鉴于 WordPress 在网络上的广泛存在,这个问题都非常重要。 根据调查网站W3Techs的数据,WordPress为全球前1000万个网站中的38%以上提供动力。当任何单一产品被网络上超过三分之一的网站使用时,它的安全性就显得尤为重要。鉴于WordPress的结构,其中许多功能通过插件和附加软件实现,安全性更多地体现在最佳实践而不是硬性规定上。 在探讨WordPress安全性问题时,我们选择了更广泛的WordPress安装基数,而不是托管在WordPress.com上的那些。 WordPress安全性从安全的托管提供商开始。每个托管提供商都会提供自己的一套功能和附加服务,WordPress管理员应该了解这些托管提供的服务如何支持或与客户添加的独立安全功能发生冲突。例如,Cloudflare为其客户提供多种内容交付网络(CDN)、DNS和反DDoS服务,包括免费和付费版本,但它通过代理机制实现,这意味着托管提供的DNS和DDoS服务不兼容。 “K2 Cyber Security市场副总裁Timothy Chiu表示:“组织需要更加重视应用程序安全,首先要解决众所周知的问题,如OWASP十大问题。” WordPress本身在其关于WordPress安全性的白皮书中提到了OWASP十大问题及其应对这些漏洞的措施。 “保持补丁更新是至关重要的。即使WordPress是最新的,一些常见的插件可能存在漏洞,需要在其修订代码可用时立即修补。”SaltStack市场副总裁Ryan Smith说。“一些插件不会自动更新,需要手动更新。” 除了任何更新的版本外,WordPress开发人员和企业安全团队还应关注这些插件的来源,PerimeterX安全布道者Ameet Naik表示。 “尽管更新插件到最新版本很重要,但这并不能保证第三方代码的完整性。”他说。 nVisium的应用安全顾问Leo Pate补充道:“WordPress中使用的任何插件或模板都应来自信誉良好的来源,并保持最新。” 需要注意的事项 Pate 表示,团队在考虑这些插件和模板时应考虑的因素包括插件的最后更新时间、开发人员和用户对插件的评论和评价,以及插件的下载次数。 许多 WordPress 管理员表示应考虑的另一个因素是插件的支持团队规模。由于 WordPress 是用四种非常流行的语言(HTML、CSS、PHP 和 Javascript)编写的,因此许多插件都是由个人开发人员开发的。虽然这些插件本身并不危险,但一些管理员警告说,当单个开发人员维护代码库时,漏洞可能需要更长的时间才能发现和修复。 Pate 补充说,组织必须全面审视其 WordPress 环境,并在各个层面采取严格的安全措施。 除了保持软件更新之外,“不要以管理员用户身份运行 WordPress 服务器的服务,应更改 WordPress 实例上的默认用户凭据以及数据库凭据,并确保服务器仅允许通过 TLSv1.2 或 TLSv1.3 进行连接,”他建议道。 “用于这些连接的密码应提供完美的前向保密性,并且域应参与证书透明性。” 在线论坛上的 WordPress 管理员写道,选择以安全为重点的插件来帮助保护 WordPress 安装非常重要。 插件的常见选择包括 Securi 和 Wordfence。 Securi 有免费版和付费版,在免费版中提供恶意软件扫描、配置文件强化和核心完整性检查,并在付费版中集成 DNS 级防火墙和 DDoS 保护服务。 Wordfence 也有免费版和付费版,为 WordPress 安装提供恶意软件扫描、登录尝试限制和 Web 应用程序防火墙 (WAF)。 还有许多其他安全插件可用,其中许多专注于单个问题,例如保护身份验证证书、通过限制登录尝试次数来阻止暴力攻击,或持续检查其他插件的版本和状态。不幸的是,这种广度意味着安装和部署安全插件在概念和实践上可能与部署任何其他 WordPress 插件一样复杂。 Chiu 强调,基本安全流程对于 WordPress 安装和任何其他企业软件一样重要。 “任何组织可以做的最简单的事情就是减少漏洞,就是保持其代码最新并打上补丁,”他说。“重要的是确保您只启用和使用您网站真正需要的插件,同时确保您的网站具有完全的安全性,包括边缘安全性、运行时应用程序安全性和服务器安全性。” 文章来源: https://www.darkreading.com/cyber-risk/expert-tips-to-keep-wordpress-safe
专家建议:如何确保WordPress的安全
网络上使用最广泛的内容管理系统严重依赖插件和附加软件——这需要在每个层面都采取严格的安全措施。
保护 WordPress 网站的最佳方法是什么?答案取决于您谈论的是托管在 WordPress.com(托管提供商)上的网站,还是托管在不同服务器上的 WordPress 内容管理系统 (CMS) 上运行的网站。无论哪种方式,鉴于 WordPress 在网络上的广泛存在,这个问题都非常重要。
根据调查网站W3Techs的数据,WordPress为全球前1000万个网站中的38%以上提供动力。当任何单一产品被网络上超过三分之一的网站使用时,它的安全性就显得尤为重要。鉴于WordPress的结构,其中许多功能通过插件和附加软件实现,安全性更多地体现在最佳实践而不是硬性规定上。
在探讨WordPress安全性问题时,我们选择了更广泛的WordPress安装基数,而不是托管在WordPress.com上的那些。
WordPress安全性从安全的托管提供商开始。每个托管提供商都会提供自己的一套功能和附加服务,WordPress管理员应该了解这些托管提供的服务如何支持或与客户添加的独立安全功能发生冲突。例如,Cloudflare为其客户提供多种内容交付网络(CDN)、DNS和反DDoS服务,包括免费和付费版本,但它通过代理机制实现,这意味着托管提供的DNS和DDoS服务不兼容。
“K2 Cyber Security市场副总裁Timothy Chiu表示:“组织需要更加重视应用程序安全,首先要解决众所周知的问题,如OWASP十大问题。”
WordPress本身在其关于WordPress安全性的白皮书中提到了OWASP十大问题及其应对这些漏洞的措施。
“保持补丁更新是至关重要的。即使WordPress是最新的,一些常见的插件可能存在漏洞,需要在其修订代码可用时立即修补。”SaltStack市场副总裁Ryan Smith说。“一些插件不会自动更新,需要手动更新。”
除了任何更新的版本外,WordPress开发人员和企业安全团队还应关注这些插件的来源,PerimeterX安全布道者Ameet Naik表示。
“尽管更新插件到最新版本很重要,但这并不能保证第三方代码的完整性。”他说。
nVisium的应用安全顾问Leo Pate补充道:“WordPress中使用的任何插件或模板都应来自信誉良好的来源,并保持最新。”
需要注意的事项
Pate 表示,团队在考虑这些插件和模板时应考虑的因素包括插件的最后更新时间、开发人员和用户对插件的评论和评价,以及插件的下载次数。
许多 WordPress 管理员表示应考虑的另一个因素是插件的支持团队规模。由于 WordPress 是用四种非常流行的语言(HTML、CSS、PHP 和 Javascript)编写的,因此许多插件都是由个人开发人员开发的。虽然这些插件本身并不危险,但一些管理员警告说,当单个开发人员维护代码库时,漏洞可能需要更长的时间才能发现和修复。
Pate 补充说,组织必须全面审视其 WordPress 环境,并在各个层面采取严格的安全措施。
除了保持软件更新之外,“不要以管理员用户身份运行 WordPress 服务器的服务,应更改 WordPress 实例上的默认用户凭据以及数据库凭据,并确保服务器仅允许通过 TLSv1.2 或 TLSv1.3 进行连接,”他建议道。 “用于这些连接的密码应提供完美的前向保密性,并且域应参与证书透明性。”
在线论坛上的 WordPress 管理员写道,选择以安全为重点的插件来帮助保护 WordPress 安装非常重要。 插件的常见选择包括 Securi 和 Wordfence。 Securi 有免费版和付费版,在免费版中提供恶意软件扫描、配置文件强化和核心完整性检查,并在付费版中集成 DNS 级防火墙和 DDoS 保护服务。 Wordfence 也有免费版和付费版,为 WordPress 安装提供恶意软件扫描、登录尝试限制和 Web 应用程序防火墙 (WAF)。
还有许多其他安全插件可用,其中许多专注于单个问题,例如保护身份验证证书、通过限制登录尝试次数来阻止暴力攻击,或持续检查其他插件的版本和状态。不幸的是,这种广度意味着安装和部署安全插件在概念和实践上可能与部署任何其他 WordPress 插件一样复杂。
Chiu 强调,基本安全流程对于 WordPress 安装和任何其他企业软件一样重要。
“任何组织可以做的最简单的事情就是减少漏洞,就是保持其代码最新并打上补丁,”他说。“重要的是确保您只启用和使用您网站真正需要的插件,同时确保您的网站具有完全的安全性,包括边缘安全性、运行时应用程序安全性和服务器安全性。”
文章来源: https://www.darkreading.com/cyber-risk/expert-tips-to-keep-wordpress-safe
相关文章
谷歌宣布永久关闭VPN服务:反思与市场变革
谷歌One VPN于2020年10月推出,尽管VPN服务需求激增,但最近悄然停止运营。还记得2020年10月推 …
网络安全在越南:机遇与挑战
在2023年下半年,越南的网络安全格局呈现出一系列的机遇和挑战。一方面,分布式拒绝服务(DDoS)攻击重新成为 …
微软Exchange遭遇重大安全漏洞:“Storm-0558”黑客组织利用漏洞,泄露美国政府官员账户
在2023年,一次重大网络安全事件中,微软的Exchange Online邮件服务被入侵,影响了22个组织和数 …