首页 > 新闻 > 20 年保护您的 WordPress 网站的 2022 个步骤

20 年保护您的 WordPress 网站的 2022 个步骤

2023-01-09 小编

复习WordPress安全最佳实践永远不会出错。总体而言,WordPress是一个安全的CMS,但由于它是开源的,因此存在一些关键漏洞。幸运的是,可以通过采取正确的步骤来保护您的WordPress网站。

立即下载:免费网站安全清单

在本文中,让我们深入了解WordPress安全危险和漏洞的详细信息。然后,我们将分享您在WordPress上管理安全,安全网站所需的所有步骤。

  1. 为什么你需要WordPress安全

  2. WordPress有多安全?

  3. WordPress安全问题

  4. 如何保护您的WordPress网站

  5. 如果您被黑客入侵该怎么办

为什么你需要WordPress安全

安全性是每个成功网站不可或缺的一部分。这适用于各种规模、声誉和行业的企业。原因如下。

它可以保护您的信息和声誉。

如果攻击者获得了有关您或您的网站访问者的个人信息,则无法说明他们如何处理被盗信息。不幸的是,安全漏洞使您面临公共数据泄露、身份盗用、勒索软件、服务器崩溃的风险,而且名单还在继续。可以想象,这些事件中的任何一个都不会很好地反映您企业的声誉——更不用说它们是浪费时间、精力和金钱。

您的访客期待它。

简而言之:您的访问者希望您的网站是安全的。如果您不能从一开始就提供这种基本服务,您将破坏客户对您的信任。通过赢得这种信任,您可以确保您的访客对您的业务有积极的体验并会再次光顾。

您的客户必须相信他们的信息是负责任地使用和存储的,无论是他们的联系信息、付款信息(需要符合 PCI 标准),甚至是对调查的基本响应,这一点很重要。这里有一个第22条军规:如果你的安全措施有效,你的客户将永远不需要知道。如果他们确实看到有关您网站安全性的新闻,很可能这是坏消息,而且大多数人都不会回来。

谷歌喜欢安全的网站。

每个人都想在搜索引擎结果页面(SERP)上排名更高。更高的排名意味着更高的知名度,更多的知名度意味着更多的访问者。幸运的是,提高Google喜欢您网站的几率的方法之一是使其安全。

为什么?因为一个安全的网站是一个可搜索的网站。WordPress安全性直接影响谷歌(和其他搜索引擎)搜索的可见性,并且已经有一段时间了。安全性是提高搜索排名的最简单方法之一。您可以在我们的谷歌排名因素终极指南中了解影响 Google 如何对您的网站进行排名的其他因素。

显然,保护您的在线资产应该是您最关心的问题。您的网站需要确保您的访问者在使用时受到保护。但首先,您可能想知道:WordPress安全吗?

下面我们来看看吧。

WordPress有多安全?

WordPress通常被认为是一个安全的内容管理系统。但是,与任何CMS一样,如果您不投资保护您的网站,它可能容易受到攻击。

没有办法绕过它:使用WordPress的网站是网络攻击的热门目标。在其WordPress安全报告中,一个名为Wordfence的防火墙服务阻止了WordPress网站上的185亿个密码攻击请求。仅在WordPress网站上就有近200亿次攻击。

WordPress安全性:阻止密码攻击请求

图片来源

这些数字令人沮丧,但请记住,整个互联网的43%是建立在WordPress上的。尽管如此,即使考虑到WordPress的市场份额,近200亿次攻击仍然相当高。

坏消息还在继续:根据通用漏洞评分系统,10个WordPress安全风险中有8个属于“中等”或“高”严重性评分。

WordPress安全性:按严重性报告漏洞

图片来源

现在您知道了事实,让我们退后几步。在WordPress帐户上单击删除之前,请记住这些数字并不是WordPress的错。或者,至少,不是WordPress产品的错。因此,作为一个负责任的用户,你绝对可以做一些事情来加强WordPress的安全工作。

WordPress雇佣了一支由世界级研究人员和工程师组成的庞大安全团队,他们正在寻找系统中的漏洞,因此他们能够在黑客到达之前修复任何问题。安全团队还定期为其软件推出安全更新。就WordPress核心本身而言,我们已经覆盖了。WordPress网站可能容易受到麻烦的原因在于WordPress如何提供给用户。

如您所知,WordPress是开源软件。这意味着任何人都可以分发和修改源代码。使用开源软件有一些好处 - 每个人都可以访问它,软件是无限可定制的,您可以对其进行优化。

结果,成千上万的开发人员创建了主题和插件,显着提高了该平台的功能。灵活性是WordPress的标志性功能,也是它如此强大和广泛使用的重要原因。

当然,WordPress提供的自由是有代价的。如果您的WordPress网站配置不正确或维护不善,那么您将面临很多安全问题。WordPress为用户提供了大量的权力,而强大的权力伴随着巨大的责任。不幸的是,许多用户对这一责任不屑一顾,黑客知道这一点。他们相应地针对WordPress网站。
请放心:完美的安全性根本不存在,尤其是在线。正如WordPress所说:

“安全...是降低风险,而不是消除风险。这是关于在合理范围内使用所有可用的适当控件,使您能够改善整体姿势,从而降低使自己成为目标,随后被黑客入侵的几率。

您永远无法保证完全免受在线威胁,但您可以采取措施降低它们发生的可能性。您正在阅读本文的事实意味着您可能关心安全性,并愿意加倍努力以确保您和您的访客的安全。

TLDR:WordPress是安全的,但前提是其用户认真对待安全性并遵循最佳实践。

有哪些常见的WordPress安全问题?

那么,如果您忽略统计数据并且不采取任何措施来保护您的WordPress网站,会发生什么?事实证明,可能会发生很多事情。以下是WordPress网站面临的一些最常见的网络攻击类型。

暴力登录尝试

暴力登录尝试是最简单的攻击形式之一。当黑客使用自动化非常快速地输入尽可能多的用户名-密码组合,最终猜出正确的凭据时,就会发生这种情况。暴力破解可以访问任何受密码保护的信息,而不仅仅是登录。

跨站点脚本 (XSS)

接下来是XSS攻击。当攻击者将恶意代码“注入”目标网站的后端以提取信息并对网站功能造成严重破坏时,就会发生这种类型的攻击。代码可以通过更复杂的方式引入后端,也可以简单地作为面向用户的形式的响应提交。对此保持警惕。

数据库注入

也称为SQL注入,当攻击者通过某些用户输入(如联系表单)向网站提交一串有害代码时,就会发生这种形式的攻击。然后,该网站将代码存储在其数据库中。与XSS攻击一样,有害代码在网站上运行,以获取或破坏存储在数据库中的机密信息。

后门

另一种常见的攻击类型是后门。后门是一个包含代码的文件,允许攻击者绕过标准的WordPress登录,最终随时访问您的网站。攻击者倾向于在其他WordPress源文件中放置后门,使没有经验的用户难以找到它们。即使被删除,攻击者也可以编写此后门的变体,并继续使用它们来绕过您的登录。

尽管WordPress限制了用户可以上传的文件类型以减少后门的机会,但请注意保护您的网站免受此类攻击。

拒绝服务 (DoS) 攻击

接下来是一种常见的攻击类型:拒绝服务攻击。这些攻击会阻止授权用户访问自己的网站。DoS 攻击最常通过使服务器流量过载并导致崩溃来执行。在分布式拒绝服务攻击(DDoS)的情况下,效果会恶化,这是一种由多台机器同时进行的DoS攻击。

网络钓鱼

您可能已经熟悉网上诱骗。当攻击者联系伪装成合法公司或服务的目标时,就会发生这种情况。网络钓鱼尝试通常会提示目标放弃个人信息、下载恶意软件,甚至访问可能损害其计算机的危险网站。如果攻击者访问您的WordPress帐户,他们甚至可以在冒充您时协调对您的客户的网络钓鱼攻击。可以想象,这对您的商业声誉不利。

 
WordPress安全性:冒充PayPal的示例网络钓鱼电子邮件

图片来源

热链接

当另一个网站显示未经许可托管在您的网站上的嵌入式内容(通常是图像)时,就会发生热链接,以便内容看起来像是他们自己的内容。虽然更像是窃取而不是全面攻击,但热链接通常是非法的,并且会给受害者带来严重的问题,因为每次从他们的服务器检索内容时,当他们在另一个网站上显示时,他们都必须付费。

那么,这些犯罪是如何发生的呢?黑客需要找到您网站安全性的漏洞。一旦他们这样做,他们就可以开始造成严重破坏。以下是黑客在针对WordPress网站时需要注意的一些常见漏洞:

  • 插件:第三方插件会导致大多数WordPress安全漏洞。但是,有些是增强您网站功能的优秀附加组件,因此不要将它们全部注销 - 请注意。由于插件是由第三方创建的,并且可以访问您网站的后端,因此它们是黑客破坏您网站功能的常见渠道。
  • 过时的WordPress版本:WordPress有时会发布其软件的新版本来修补安全漏洞。当修复程序出来时,漏洞成为公众知识,旧版本WordPress的问题经常成为黑客的目标。您可以通过使您的网站保持最新状态来避免此问题。
  • 登录页面:默认情况下,任何WordPress网站的后端登录页面都是网站的主URL,末尾添加了“/wp-admin”或“/wp-login.php”。攻击者可以轻松找到此页面并尝试暴力进入。通过保持密码的多样性和复杂性,您可以避免黑客准确猜测您的几率。
  • 主题:是的,即使是您的 WordPress 主题也可以使您的网站受到网络攻击。过时的主题可能与最新版本的WordPress不兼容,从而可以轻松访问源文件。此外,许多第三方主题不遵循WordPress的代码标准,导致兼容性问题和类似的漏洞。再一次,在向网站添加主题之前进行研究。

要更深入地了解WordPress安全问题,请参阅我们关于您应该了解的WordPress安全问题的文章。

 

现在我们已经结束了可怕的部分,让我们讨论一下减少WordPress网站上网络攻击威胁的各种方法。

网站安全,以及扩展的WordPress网站安全,归结为遵循最佳实践。如果您这样做,则无法保证您永远不会遇到问题,但出现问题的几率要低得多。其中一些最佳实践一般适用于所有网站(例如,强密码和双因素身份验证、SSL 和防火墙),而其他最佳实践则专门适用于 WordPress 网站(例如,使用安全插件和主题)。

为了维护您网站的安全,您必须遵守尽可能多的最佳实践。首先,让我们介绍最好的基础知识。然后,我们将分享一些额外的步骤,如果您特别担心您网站的安全性,您可以采取.u如果您的网站面临特别危险或您想走得更远,则可以采取。

WordPress 安全最佳实践

1. 保护您的登录程序。

这是第一步,因为它确实是确保您的网站安全的重要组成部分。保护网站的最基本步骤是保护您的帐户免受恶意登录尝试的侵害。为此:

  • 使用强密码:使用密码:我们曾经认为未来会有飞行汽车,但截至今年,人们仍在使用“123456”作为密码。所有有权访问WordPress网站后端的用户都必须使用强密码登录。即使是一个弱密码也可能给所有其他用户带来麻烦。您可能希望使用我们推荐的密码管理器之一来生成强密码并为您跟踪它们。
  • 启用双因素身份验证:双因素身份验证 (2FA) 要求用户使用第二台设备验证其登录。这是保护登录的最简单但最有效的工具之一 - 而且它有效。以下是在WordPress中添加双因素身份验证的方法。
  • 避免将任何帐户用户名设置为“admin”:管理员可能是攻击者在暴力登录尝试期间插入的第一个用户名。如果已创建具有此名称的用户,请使用其他用户名创建新的管理员帐户。
  • 限制登录尝试:通过限制用户输入错误凭据的次数,您可以保护您的网站。如果人们尝试登录的次数过多,CMS 会将他们锁定,从而阻止暴力登录的发生。某些托管服务和防火墙可能会为您解决此问题,但您也可以为该作业安装诸如“限制登录尝试”之类的插件。
  • 添加验证码:如果这听起来很熟悉,那是因为您可能已经在许多其他网站上看到过此安全功能。它们通过验证您确实是一个活着的人来为您的登录添加额外的安全层。您可以使用插件将验证码添加到您的网站。BestWebSoft 的 reCaptcha 是我们推荐的 - 请参阅我们在 WordPress 中启用 Google reCaptcha 的指南。
  • 启用自动注销:最后但并非最不重要的一点是,请对注销保持警惕,尤其是在使用公共计算机时。自动注销功能可防止陌生人在忘记帐户时窥探您的帐户。要在您的WordPress帐户上启用自动注销,请尝试非活动注销插件。

2. 使用安全的WordPress托管。

接下来,让我们谈谈您的托管服务提供商在WordPress安全性中的作用。在选择托管您网站的服务时,需要考虑许多因素,但安全性应该是首要的。进行研究,详细了解企业采取了哪些措施来保护您的信息,并在发生攻击时及时恢复。请参阅我们推荐的WordPress托管服务提供商列表。

3. 更新您的 WordPress 版本。

过时的WordPress软件版本构成了一个巨大的目标。为避免此问题,请确保定期检查并尽快安装WordPress更新以消除漏洞。

要将WordPress更新到最新版本,请首先备份您的网站并检查您的插件是否与最新版本的WordPress兼容。您可能还需要相应地更新插件。您可以参考我们的指南,了解如何更新WordPress插件。

更新插件后,请按照WordPress网站上的更新说明进行操作。

4. 更新到最新版本的 PHP。

升级到最新版本的PHP是WordPress安全可以采取的最关键步骤之一。升级准备就绪后,WordPress会在仪表板上通知您,因此请留意。然后,系统将提示您前往您的主机帐户以升级到最新的PHP版本。如果您无权访问您的主机帐户,请与您的 Web 开发人员联系以进行升级。

5. 安装一个或多个安全插件。

幸运的是,在站点安全方面,您不必自己做所有事情:您也可以依靠安全插件。我们强烈建议在您的网站上安装一个或多个信誉良好的安全插件。(强调信誉!

这些插件为您完成许多与安全相关的手动工作,例如扫描您的网站以进行渗透尝试、更改可能使您的网站容易受到影响的源文件、重置和恢复 WordPress 网站,以及防止内容盗窃,如热链接。一些信誉良好的插件几乎涵盖了此列表中的所有内容。当然,如果您使用的是 HubSpot 的内容管理系统,则不需要此步骤,该系统在平台内提供恶意软件扫描和威胁检测。

无论您决定安装哪个插件,无论是否与安全相关,请确保它们成熟且合法。请参阅我们推荐的WordPress安全插件列表,并在下载此列表中未列出的任何内容之前自行决定。

6. 使用安全的 WordPress 主题。

就像您不应该在您的网站上安装粗略的插件一样,抵制使用任何看起来不错的 WordPress 主题的冲动。为什么?因为它可能不安全,最终使您的网站容易受到重大问题的影响。为了防止由WordPress主题引起的漏洞,请选择一个符合WordPress标准的主题。

要检查您当前的主题是否符合WordPress的要求,请将您的网站URL(或任何WordPress网站的URL或任何主题的实时演示)复制到W3C的验证器中。如果您发现您的主题不合规,请在官方 WordPress 主题目录中搜索新主题。此目录中的所有主题都与WordPress软件安全兼容。或者,查看HubSpot推荐的WordPress主题列表,或在可靠的主题市场中搜索另一个主题。

7. 启用 SSL/HTTPS。

SSL(安全套接字层)是一种加密您的网站和访问者网络浏览器之间的连接的技术,可确保您的网站和访问者计算机之间的流量免受不受欢迎的拦截。

您的WordPress网站需要启用SSL。如果您是CMS Hub用户,SSL是免费的,并且内置于平台中,因此您可以开始使用。如果您使用的是WordPress,那么根据您的用例,您可以选择手动执行此操作或使用专用的SSL插件。它不仅可以促进SEO,还可以直接影响访问者对您网站的第一印象。谷歌浏览器甚至会警告用户,如果他们访问的网站不遵循SSL协议,这直接减少了网站流量。

要查看您的WordPress网站是否遵循SSL协议,请访问WordPress网站的主页。如果主页 URL 以“https://”开头(“s”代表“安全”),则您的连接将使用 SSL 进行保护。如果网址以“http://”开头,则需要为您的网站获取 SSL 证书。

8. 安装防火墙。

防火墙位于托管WordPress网站的网络和所有其他网络之间,并自动防止未经授权的流量从外部进入您的网络或系统。它们通过消除您的网络与其他网络之间的直接连接来阻止恶意活动。

我们建议安装Web应用程序防火墙(WAF)插件来保护您的WordPress网站。使用 CMS 中心,您的站点将在平台内附带 WAF。与此列表中的其他所有内容一样,在做出选择之前,请仔细考虑哪种类型的防火墙和哪种插件最适合您的需求。

9. 备份您的网站。

被黑客入侵是令人不安的。这感觉就像侵犯了您的数字空间,如果您因此丢失了所有数据,那就更加令人痛苦了。但是,您可以通过确保您的网站由WordPress和您的托管服务提供商备份来避免这种情况发生。如果发生导致数据丢失的攻击(或任何其他事件),您将能够重新获得对它的访问权限。我们建议备份也是自动的。查看我们最好的WordPress备份插件列表。

10. 定期进行WordPress安全扫描。

最后但并非最不重要的一点是,我们建议您在网站上进行例行检查。目标是每月至少一次。不,您不必自己做——有一些安全插件可以为您完成。以下是我们推荐的七个WordPress扫描仪插件。

完成这些基本步骤后,您可以转向更高级的措施来保护您的WordPress网站。

高级 WordPress 安全最佳实践

1. 从用户输入中过滤掉特殊字符。

如果您网站的任何部分接受访问者的响应,无论是付款表单、联系表单,甚至是博客文章的评论部分,都有机会遭受 XSS 或数据库注入攻击。攻击者可以在这些文本字段中输入恶意代码并破坏您网站的后端。

这是不幸的,因为在您的网站上拥有这些工具以从合法用户那里获取信息非常重要。

若要避免此问题,请确保在站点处理用户输入并将其存储在数据库中之前从用户输入中筛选出特殊字符。您还可以使用插件来检测恶意代码。或者,您可以使用WordPress表单插件自动过滤掉这些字符。

2. 限制 WordPress 用户权限。

许多WordPress网站有多个用户帐户。但是,我们建议更改每个用户的角色,以将其访问权限限制为仅访问所需的内容。WordPress为每个用户提供了六个角色可供选择。

通过限制具有管理员权限的用户数量,可以减少攻击者暴力破解管理员帐户的机会,并限制攻击者正确猜测用户凭据时可能造成的损害。请参阅我们关于如何更改WordPress用户权限的指南。

3. 使用WordPress监控。

您必须为您的网站设置一个监控系统。这将提醒您网站上发生的任何可疑活动。理想情况下,您的其他措施可以防止此类活动,但最好尽早发现。您可以使用WordPress监控插件在发生违规行为时收到警报。

4. 记录用户活动。

这是在问题发生之前解决问题的另一种方法:创建用户在您网站上进行的所有活动的日志,并定期检查此日志是否存在可疑活动。这样,您将看到其他用户的行为是否可疑(例如,尝试更改密码,更改主题或插件文件,或未经许可安装或停用插件)。日志对于黑客攻击后的清理也很有用,可以显示出了什么问题以及何时出错。

这并不是说所有密码更改或文件修改始终是团队中黑客的迹象。但是,如果您雇用了许多外部贡献者并授予他们访问权限,那么密切关注事情总是一个好主意。

许多WordPress插件创建活动日志,并且有几个专用的WordPress日志记录插件,如WP活动日志或免费的活动日志插件。

5. 更改默认的 WordPress 登录网址。

正如我们所提到的,任何WordPress网站的WordPress登录页面的默认URL都太容易找到。幸运的是,有一种方法可以更改它以提高安全性。WPS隐藏登录等插件为您更改此登录页面URL。

6. 禁用 WordPress 仪表板中的文件编辑。

默认情况下,WordPress允许管理员直接使用代码编辑器编辑其文件的代码。这为攻击者提供了一种简单的方法来更改您的文件,如果他们可以访问您的帐户。如果插件尚未禁用此功能,您可以自己进行一些轻量级编码来禁用它。将下面的代码添加到文件wp-config.php的末尾:

// Disallow file edits


define( 'DISALLOW_FILE_EDIT', true );

7. 更改数据库文件前缀。

默认情况下,组成WordPress数据库的文件的名称以“wp_”开头。您猜对了:黑客可以利用此设置并按名称查找您的数据库文件并进行SQL注入。

这里有一些好消息:有一个简单的修复。只需将前缀更改为其他内容,例如“wpdb_”或“wptable_”。您甚至可以在安装WordPress CMS时进行设置。如果您的网站已使用此设置,则可以重命名这些文件。在这种情况下,我们建议使用插件来处理此过程,因为您的数据库存储了您的所有内容,并且配置错误会破坏您的网站。在您首选的安全插件的功能中寻找更改表前缀的功能。

8. 禁用您的 xmlrpc.php 文件。

XML-RPC是一种通信协议,使WordPress CMS能够与外部Web和移动应用程序进行交互。自从WordPress REST API合并以来,XML-RPC的使用频率比以前低得多。但是,它仍然被一些人用来对WordPress网站发起强大的攻击。

这是因为 XML-RPC 技术允许攻击者提交包含数百个命令的请求,从而更容易实施暴力登录攻击。XML-RPC 的安全性也低于 REST,因为它的请求包含可被利用的身份验证凭据。

如果不使用 XML-RPC,则可以禁用 xmlrpc.php 文件。首先,检查您的网站是否正在使用该文件。将您的 URL 插入此 XML-RPC 验证器,以检查您的网站当前是否正在使用该协议。如果没有,禁用此文件的最简单方法是使用禁用XML-RPC-API之类的插件。您的WordPress安全插件也可以为您执行此操作。

9. 考虑删除默认的 WordPress 管理员帐户。

我们已经讨论了更改默认WordPress管理员帐户的“管理员”用户名,但是如果您想更进一步,则可以考虑完全删除此默认帐户。

从那里,您可以创建一个具有相同管理员权限的新帐户。如果您认为您的原始管理员用户名和密码已被发现,并且希望避免将来再次发生这种情况,这是一个很好的步骤。

10. 考虑隐藏您的 WordPress 版本。

隐藏您的WordPress版本将确保黑客不知道您的网站容易受到攻击。如前所述,您必须始终更新到最新版本的WordPress。但是,如果您还没有机会这样做,那么隐藏潜在的漏洞至关重要。这是有关如何隐藏WordPress版本的教程。

如果您被黑客入侵该怎么办

因此,您已经实施了上述部分或全部措施,现在您希望做好额外的准备,以防出现问题。或者,出了点问题。无论哪种方式,请执行以下操作:

1. 保持冷静。

在不确定的情况下,你觉得自己没有任何控制,恐慌是很自然的。但是,尝试尽可能保持冷静很重要。不幸的是,安全漏洞可能发生在任何人身上——即使是那些努力保护其网站的人。保持清醒的头脑,以便找到违规的来源并开始解决它。

2. 在您的网站上打开维护模式。

接下来,是时候限制对该站点的访问了。这样做可以使访客远离,因此可以免受攻击。在您确信情况完全得到控制之前,您不要重新打开您的网站。

3. 开始创建事件报告。

下一步是收集将在事件报告中使用的事实。这些最终也可以作为有助于解决问题的线索。请注意:

  • 当您发现问题时。
  • 是什么让你相信你受到了攻击。
  • 您当前的主题、活动插件、托管提供商和网络提供商。
  • 您在事件发生前对WordPress网站所做的任何更改。
  • 查找和修复问题时的操作日志。当有更多详细信息可用时,请更新此文档。

4. 重置访问权限和权限。

更改WordPress网站上的所有帐户密码,以防止任何进一步的网站更改。接下来,强制注销任何仍登录的用户。

强烈建议所有帐户持有人更新其工作和个人设备以及个人帐户的密码,因为您无法确定攻击者能够在您的WordPress网站之外访问什么。是的,这很麻烦,但它可以帮助确保攻击的影响是孤立的。

5. 诊断问题。

在某些情况下,您可以在安全插件的帮助下自己搜索问题。但是,根据攻击的规模,您可能需要聘请专业人员来诊断问题并修复您的网站。无论您选择哪种方法,都可以对站点和本地文件运行安全扫描,以清除攻击者可能留下的任何剩余有害文件或代码,并恢复任何丢失的文件。

6. 查看相关网站和渠道。

您是否有网站上链接的任何其他平台的帐户?如果是这样,您也应该采取预防措施来锁定它们。例如,如果您的网站链接到您的Instagram帐户,请确保黑客没有代表您在您的帐户上发帖。还必须更改任何链接帐户的密码。

7.重新安装备份,主题和插件。

重新安装您的主题和插件(仔细检查它们是否安全)。如果有备份,请还原事件发生之前的最新备份。

8. 再次更改站点密码。

当涉及到WordPress安全性时,没有太小心的事情。您已经重置了密码,但在修复问题时凭据可能已泄露。你永远不能太小心。因此,请考虑再次更改它们。

9. 提醒您的客户和利益相关者。

在您的网站重新启动并运行后,强烈建议考虑联系您的客户,并提醒他们受到攻击,尤其是在个人信息被访问和泄露的情况下。这是正确的做法,但要为客户的负面反应做好准备。

10. 检查您的网站是否未被谷歌列入黑名单。

由于这次攻击,您的网站可能被谷歌列入黑名单。如果是这种情况,谷歌不会那么巧妙地警告用户进入您的网站:

WordPress安全性:当您的网站被列入黑名单时,Google显示的屏幕。

图片来源

虽然黑名单对于让用户远离有害网站是必要的,但它也会吓到来自您合法网站的大部分流量。Sucuri 有一个免费工具可以扫描您的网站以获取谷歌黑名单状态。

11. 遵循上述最佳实践。

采取一切可能的预防措施来限制再次攻击的可能性会让您高枕无忧。让我们希望这样的事情不会再发生。但如果是这样,你的状态会好得多,因为你将有更多的了解如何处理一切的知识。

不要认为安全是理所当然的。

不幸的是,网络犯罪分子正在不断发展并学习利用公司的在线业务来对付他们的新方法。幸运的是,安全工程师一直在开发新的方法来阻止它们。这是互联网上不断转动的安全循环,我们都夹在中间。始终牢记客户的安全,这样他们就少了一件需要担心的事情。

注意:此内容中的任何法律信息都与法律建议不同,律师将法律适用于您的具体情况,因此,如果您想就您对这些信息的解释或其准确性提供建议,我们坚持要求您咨询律师。简而言之,您不得将其作为法律建议或任何特定法律理解的建议。

编者按:本文最初发表于2020年5月,并已更新以全面性。


*必填

您好,访客!有什么新鲜事想告诉大家?

点击按钮快速添加回复内容: 高兴 支持 激动 给力 加油 生气 路过 威武
发表
暂时还没评论,等你发挥!