当我们安装主题和插件时,都会向…
我的博客“把工作留在后面”于四月份被黑。这是您经常读到的东西,但是直到为时已晚之前,您才真正期望发生在您身上。坦白地说,我并不认为自己是主要候选人-我经常撰写有关WordPress安全性的文章,足以采取许多预防措施。但是,这些措施显然不够全面。
我不想再次遭到黑客攻击。网站停机对您的博客/企业不利的原因有很多:虽然流量损失和潜在收入是最明显的两个,但我不能低估恢复网站所浪费的时间和压力造成了我
在这篇文章中,我想揭示我的网站发生了什么,并让您知道自那以来我为提高网站安全性所做的工作。
被黑:我的故事
我在4月18日(星期四)醒来,发现我的网站已经停工了几个小时。我立即联系我的托管服务提供商Westhost,后者通知我他们的ModSecurity防火墙检测到我的站点上有异常活动,并已将其关闭以作为预防措施。在站点上运行初始还原后,我可以立即看到它已被黑客入侵。尽管这些变化相对微妙,但很明显,一些不道德的问题正在四处徘徊。
事实证明,大量WordPress网站也遭到了黑客入侵,Westhost的工作也因此而中断。幸运的是,他们每天对网站进行备份,第二天下午,我回到了在线,并获得了与当前版本尽可能接近的版本。
这是骇客入侵对我的流量的影响:
从上图来看,与前一周相比,该周的访问量下降了约30%。从理论上讲,这意味着收入下降了30%。
可以公平地说,我渴望确保(尽我所能)不会再次发生这种黑客攻击。我立即采取了行动。
我的直接步骤
我要做的第一件事是验证我是否已按照我最近的帖子中概述的有关保护WordPress网站的步骤进行操作。
这是绝对的基础:更新主题和插件,确保我最近备份,确保默认配置文件未命名为“ admin”,更改密码,并在网站上检查安全性插件。有了这些项目之后,就该继续前进了。
我丝毫不幻想我的网站现在是100%安全的-毕竟,没有100%安全的网站。话虽如此,我知道它比以前更加安全,并且我将在现在和将来继续研究站点安全措施。到目前为止,这就是我所做的。
1.我安装了VaultPress
对于不认识的人,VaultPress是WordPress的全自动备份和安全解决方案。它由WordPress的事实上的“所有者” Automattic拥有。
我已经使用VaultPress几天了,我不敢相信自己如此便宜以至于没有预先购买该服务。他们的基本套餐起价为每月15美元-为了让您在一周中的任何一天都省心,我将支付该费用。
实际上,我选择了他们的高级套餐(每月40美元),其中包括:
- 实时备份
- 自动一键还原站点
- 存档,统计和活动日志
- 优先灾难恢复
- 优先“礼宾”支持
- 每日安全扫描
- 安全通知
- 一键修复安全威胁
- 网站迁移协助
基本上,他们已经为您覆盖。
尽管VaultPress不能保证您的站点免受黑客攻击的安全性,但它几乎 可以保证可以相对轻松地恢复您的站点。看到存储在VaultPress服务器上的站点的每小时快照只是一件非常令人平静的事情:
尽管有很多免费的备份解决方案,但我认为没有什么比VaultPress相对省心的了。他们已经可以立即还原90个我的网站快照,其中最近的快照只有二十分钟的时间。我知道我的网站在他们手中是安全的。
2.我管理了我的个人资料
黑客有可能从WordPress后端内的任何管理员配置文件访问您的网站,而不仅仅是 您使用的网站。当我加载个人资料时,我可以看到我还有其他三个个人资料-访客海报个人资料,以及其他两个(可信任)我可以访问我的网站的个人资料。
首先,我关闭了这两个配置文件,并将来宾海报配置文件的角色更改为“作者”。我建议您这样做-仅创建绝对必要的尽可能多的管理员配置文件。此外,您当然应该确保每个帐户都是适当的随机且唯一的密码,并且必须定期更改所述密码。
有时您需要允许人们(例如您的网页设计师)访问您的网站。在这种情况下,建议您使用新密码为他们创建一个配置文件,然后在必要时立即删除该配置文件。
始终要考虑您站点的入口点,以及它们是否绝对必要。
3.我更改了密码
您可能会认为这是一个明显的举措,但实际上我并不是在谈论我的WordPress密码。尽管确实更改了密码,但我也确保将所有密码更改为特别敏感的帐户,即:
- 邮箱
- 脸书
- 推特
- 我的托管帐户
- 亚马逊协会
- 等等
如果您想知道我为什么要这样做,那就考虑一下Mat Honan的故事,他的整个数字生活都被最初入侵他的Amazon帐户的黑客摧毁了。如果您以任何方式对在线安全感到不满意,那么以上文章是必读的。
考虑一下这个简单的链:黑客获得了您的电子邮件帐户的访问权限,您最近通过该帐户向WordPress网站设计者发送了一封电子邮件,其中包含您的登录详细信息。这就是他们访问您的网站并随心所欲所需的一切。黑客攻击可能是最基本的。
4.我升级到SFTP
这可能是您可能不知道的:通过FTP传输的任何数据(包括您的用户名和密码)都是完全未加密的。因此,成功拦截FTP传输的任何人都将能够获取您的登录详细信息并访问您的帐户。
这不仅使他们能够按自己的意愿添加和删除文件,而且还可以通过phpMyAdmin访问WordPress数据库并最终登录到您的站点。
简而言之,如果黑客可以通过FTP进入WordPress网站,那么直接访问您的WordPress站点的安全性并不重要。因此,我强烈建议您禁用对站点的FTP访问,并使用不加密数据的备用SFTP协议传输文件 。任何好的托管服务提供商都应该能够帮助您。
谈到托管服务提供商…
5.考虑您的托管解决方案的适用性
我很高兴与Westhost在一起。首先是他们的ModSecurity防火墙发现了该黑客,并在可能造成严重破坏之前关闭了我的网站。他们还执行每日自动备份(用于还原站点),并提供强大的客户支持来启动。
您能对托管服务提供商说同样的话吗?那里有很多很棒的选择,以至于您会与不满意的服务提供商呆在一起。您可能考虑像WPExplorer最近所做的那样切换到托管托管解决方案之一(例如WPEngine)。
无论您选择哪种方式,请务必询问其采取的安全措施。考虑一下我上面已经采取的措施,并确保它们与您的托管解决方案兼容。
这个故事的寓意是这样的:不要在安全性上妥协。最终,确保您网站的安全比其他任何事情都重要 。如果没有人看到它,那么拥有丰富的内容或新颖的设计毫无意义,因为您的网站已被无情的黑客撕碎。
与骇客的网站没什么关系的邪恶类型不会很快消失。您越早接受并采取合理措施来保护您的站点免受攻击,则对于在线资产的长期安全性越好。
我很想知道您对我采取的措施有何看法。您还有其他建议吗?请在评价部分留下您的意见!
微信扫描二维码联系我们!
我们在微信上24小时期待你的声音
提供外贸路由器设备产品,轻松翻墙,解答:WP主题推荐,WP网站建设,Google SEO,百度SEO,专业服务器环境搭建等!
需要提供WordPress主题/插件的汉化服务可以随时联系我们!另外成品WordPress网站以及半成品WordPress网站建设,海外Google SEO优化托管服务,百度SEO优化托管服务,Centos/Debian服务器WP专用环境搭建,WP缓存服务器搭建,我们都是你的首选,拥有多年WP开源程序服务经验,我们一直在坚持客户体验,没有最好,只有更好!