近年来,在全球六千多万WordPress网站中,超过一百万的网站都受到了包括著名恶意软件Spectre在内的高知名度安全漏洞的袭击。一些WordPress安全专家估计,每分钟攻击WordPress网站的各种网络攻击超过九万次。
这样的数据让新用户和长期用户都开始担心WordPress网站是否能免受网络攻击,以及如何建立一个安全的平台来托管他们的商业和个人网站。但是,WordPress本身只是影响WordPress支持站点安全的大型实体生态系统中的一个元素。关键的问题可能不是WordPress的安全性,而是用户如何带头保护其WordPress网站免受黑客攻击和其他类型的网络攻击。
WordPress有多个安全防护层
当用户询问WordPress的安全性时,他们很可能指的是WordPress Core本身——一个可以下载并安装在任何主机环境中的免费开源软件包。但是,WordPress核心代码并不是孤立存在的。许多其他实体与WordPress交互,其中每个实体都会对WordPress站点的安全性产生影响。这样,WordPress就处在动态生态系统的中心,其中还包括:
虚拟主机提供商
第三方插件和主题开发人员
WordPress网站所有者和管理员
WordPress网站面临的安全威胁可能来自这些威胁中的任何一种,也可能来自这些威胁的组合。
确保WordPress核心的安全
WordPress核心代码是具有通用使用许可的开源软件,这意味着,从理论上讲,任何用户都可以修改代码并以他们选择的任何方式使用或共享代码。对于不熟悉WordPress社区的用户来说,这似乎表明WordPress非常容易受到黑客攻击、身份盗窃以及各种其他形式的网络攻击。
但是,尽管WordPress看起来可以被任何想用恶意软件感染它的人随意修改,或者以其他方式修改它,但事实并非如此。WordPress组织的核心开发人员团队最终将负责保持核心代码的稳定性和安全性——这包括检查任何更改,并不断努力通过补丁和临时更新来修复任何漏洞。
一旦发现安全问题,开发团队就会进行修复,并通知所有WordPress用户更新。虽然不能保证WordPress是完全安全的,但是出现的任何安全问题通常都可以通过下载最新版本的软件来解决。
虚拟主机和WordPress安全
为了运行,WordPress自托管网站需要一个可靠的WordPress主机提供商,而该提供商也在确保用户站点的安全方面发挥了作用,无论这些站点是由WordPress提供的还是由其他内容管理系统提供的。
主机提供商负责维护公司服务器的安全,使其免受网络攻击,并为主机软件包提供各种安全选项,以满足用户的不同需求,例如虚拟独立服务器(VPS)主机,这有助于防止共享服务器上的一个站点“感染”另一个站点。一些主机提供商还提供安全的WordPress主机软件包,专门针对WordPress网站,旨在解决最可能影响系统的安全问题。
主题和插件的安全
除了核心代码、WordPress网站上的主题和插件也有安全风险。主题定义了WordPress站点的外观,其中有数百个主题可以从WordPress主题目录中获得,每个WordPress安装都附带了这些主题目录,世界各地的开发人员和设计人员都提供了数以千计的免费和付费主题。
与主题一样,插件扩展了WordPress核心代码的功能。这些小代码可以添加到几乎任何WordPress站点,以远远超出其最初的博客使用意图的方式来扩展其功能。WordPress安全插件也可以从WordPress安装的WordPress插件目录中获得,并且世界各地的开发人员不断为特定用途创建了更多插件。
但是,主题和插件都可能带来安全风险。尽管WordPress开发人员仔细检查了所有提交到目录中的插件和主题,以确保代码的安全性,但对于购买或从第三方开发人员免费下载的插件和主题,并不总是如此。
添加到WordPress网站的插件和主题可能携带损坏的代码或恶意软件,这些代码或恶意软件可能会影响整个网站及其链接的其他网站。开发人员和设计人员有责任确保他们的产品可以安全地集成到任何兼容的WordPress网站中,但是对于来自陌生来源的插件或主题,尤其是那些免费的或者已经有一段时间没有更新或维护的插件或主题,情况可能并非如此。
用户可以保护网站的安全
WordPress生态系统中的每个成员都可以在保证WordPress站点的安全性方面发挥作用。但WordPress专家和网络安全专家指出,在所有这些方面,WordPress用户本身在保护其WordPress站点的安全方面拥有最大的权力和责任。通过积极谨慎地保护WordPress网站,网站所有者和管理员可以通过遵循维护网站安全的推荐最佳做法,大幅降低网络攻击和各种安全问题的风险,包括: 立即安装WordPress、插件和主题的推荐更新。
选择强密码和用户名,阻止登录尝试,特别是网站的管理员登录时。购买和安装受支持的、定期维护的插件和主题。管理管理员对网站的访问,并限制少数用户的访问。删除未使用的、过时的插件、主题和文件。定期备份站点。安装SSL证书以向所有事务添加一层加密。在网站上安装WordPress安全插件。
WordPress网站的安全可能会从多个方向受到损害。网站安全的某些方面可能掌握在WordPress核心团队、主机提供商以及在网站上安装主题和插件的创建者手中。但是网站所有者和管理员是他们WordPress网站的最终监护人——这取决于在管理网站和与WordPress生态系统的其他成员打交道时做出明智的选择。