2020年WordPress安全威胁及其预防方法

WordPress在网络上的统治地位是有代价的。作为最受欢迎的CMS，它也成为黑客最赚钱的目标。在2019年，Sucuri清理的94％被黑客入侵的网站都在WordPress上运行。其他CMS平台甚至都没有达到两位数。

这个高数字并不意味着WordPress容易受到攻击。实际上，WordPress安全团队在修补漏洞方面做得很好。但是可以安装以自定义WordPress的成千上万的插件和主题为潜在的黑客打开了新的途径，更不用说那些未更新（或者在某些情况下无法更新）的旧站点。 

因此，任何WordPress网站所有者都必须首先考虑安全威胁。由于黑客一直在寻找新的漏洞，因此不断出现新的威胁。为了保护您的网站安全，我们将看一下2020年需要关注的主要WordPress安全威胁。

为了获得更好的主意，我们将深入研究Sucuri的《2019年网站威胁研究报告》中的发现。我们的恶意软件研究和补救团队于2019年从客户那里收集了这些数据，以更全面地了解趋势威胁。 

SEO垃圾邮件占上风

当涉及到网站攻击时，SEO垃圾邮件仍然是黑客最受欢迎的方法。该技术涉及将关键字和内容注入受损的网站，以利用其良好信誉。此外，SEO垃圾邮件注入可能会将访问者重定向到欺诈页面。 

在2019年期间，我们的团队发现，有62％的网站在清理过程中发生了SEO垃圾邮件感染，比我们在2018年发现的51.3％有所增加。最受欢迎的感染类型是将数据库感染到带有不需要内容的网站。我们经常发现不止一种感染，我们的SEO垃圾邮件案件平均有12种不同的感染。 

尚未解决的SEO垃圾邮件黑客行为会严重损害网站的声誉，并最终导致主要搜索引擎将其列入黑名单。因此，对于WordPress所有者而言，明智的做法是在2020年使SEO垃圾邮件攻击成为首要考虑。毕竟，这是针对最受欢迎的CMS选择的最流行的攻击形式。

后门略有下降-但仍然是一个问题

更糟糕的是，由于后门的存在，导致2019年SEO垃圾邮件再感染的发生率达到了15％。所以网站后门是第二大威胁。

黑客安装后门以确保他们可以重新获得对受损环境的访问权限。这是他们能够回到未被发现的犯罪现场的方式。虽然我们在2019年清理的被黑网站中发现了47％，但实际上比2018年的68％有所下降。

通常在WordPress核心、插件或主题更新期间删除后门。与其他类型的恶意软件相比，查找和删除数据库后门也更加容易。但是，仅仅因为它们处于下降状态并不意味着它们不是问题。

网站感染变得越来越普遍 

去年，我们的网站安全专家团队发现，感染SEO垃圾邮件和通用恶意软件的网站感染网站的次数最多。 

但是对于WordPress用户而言，2019年最值得注意的再感染之一是WP-VCD感染。在这些情况下，受影响部位的平均再感染率为40％。我们的小组清理了5,000多个受WP-VCD感染的网站，发现留下一个受感染的文件可能会导致再次感染。

许多此类病毒的初始感染都是WordPress主题或插件的盗版或破解版本，因此请确保仅使用官方WordPress信息库中的合法插件，以避免这种安全问题。 

发现核心WordPress文件在感染时容易受到攻击

在2019年，我们发现客户的CMS应用中有56％在感染时已过时。从我们之前的分析以来，这个数字没有改变。但是，WordPress用户显然非常擅长于更新其CMS，因为我们发现49％的WordPress安装已过时。这远远低于其他流行的CMS应用程序。

为什么WordPress比竞争对手低很多？好吧，我们的研究发现，与不包含自动更新功能的软件相比，3.7版中引入的自动后台更新为用户提供了优势。 

而WordPress 5.5或将带来插件和主题自动更新功能，将为WordPress带来更好的安全优势。

update_option()导致了更多高严重性漏洞

我们在2019年看到的最常见的漏洞利用之一是针对WordPress update_option()函数的攻击的增加。合法地用于更新选项数据库表中的任何条目。但是，如果权限配置不正确，则攻击者可以获得管理员访问权限或注入数据。 

不幸的是，有几个插件将允许管理员用户编辑update_option()。虽然这本身不是问题，但缺乏安全检查可使攻击者更改这些值。这为攻击者提供了在WordPress上编辑内部选项的可能性。 

为避免这些问题，请始终更新插件、主题和其他第三方组件。最新的安全补丁对于保护您的WordPress环境免受漏洞至关重要。

自2018年以来，加密矿威胁显着下降

对于WordPress网站所有者来说，一个积极的方面是，加密采矿正变得越来越少。2019年，共有9个新的加密矿工域被列入黑名单，低于2018年的100个。这很可能是由于加密货币价格下降所致。此外，市场上最受欢迎的基于浏览器的JavaScript矿工之一CoinHive于2019年初关闭。

但是，加密矿还没有完全消失。我们仍然可以看到属于较旧感染的检测程序-大多数与CoinHive有关。在2019年，我们的签名在受感染的网站上检测到大约50,000个注入的加密矿工。

2020年防止WordPress网站被黑客入侵

在保护您的WordPress网站时，就像古老的谚语所说：“一分预防胜过一磅治疗。” 您将希望尽快采用可靠的安全计划。由于大多数常见攻击都是自动进行的，因此您不能假定您的网站不会成为目标。

密码强度

使用强密码。诸如LastPass、1Password或KeePass之类的密码管理器将使此操作变得更加容易。这些工具将生成并存储复杂的唯一密码。它消除了为每个帐户创建和记住密码的猜测工作。 

另外，对所有用户启用双因素身份验证（2FA），限制允许的登录尝试次数，并使用预登录CAPTCHA保护您的站点免受合法帐户的未经授权的登录。

您还应该定期审核主题和插件。检查并确保您使用的所有主题插件都已更新，并删除所有过期或不再使用的插件。

另一个好的做法是管理您的用户帐户。替换您的WordPress安装的默认管理员帐户。使用管理员帐户的唯一用户名，可以使攻击者更加难以猜测自己进入网站的方式。

实行最小特权原则也将有所帮助。WordPress包括管理员、作者、编辑、贡献者和订阅者的内置角色。按照预期的方式使用这些角色，以便仅在需要的时间范围内授予需要它的用户访问权限。

2020年WordPress安全性总结

尽管这些做法将有助于在2020年保护WordPress网站的安全，但并不能保证。对于更强大的安全解决方案，您将需要引入一些第三方安全工具。

Sucuri为所有预算的WordPress用户提供网站安全解决方案。我们的免费WordPress安全插件可以处理基本的扫描和监控，以帮助您改善安全状况。我们还为大型网站和代理机构提供了Web应用程序防火墙和平台计划。

网站安全是您始终必须维护的东西，否则可能会遭受灾难性的黑客攻击。通过这些技巧，您的安全状况将得到改善–但是总会有更多的学习空间。

以上内容参考自： https://torquemag.io/2020/03/wordpress-security-threats-in-2020-and-how-to-prevent-them/ ，由 Sucuri 的营销专家Justin Channell 撰写，如果你想了解更多信息，可以查看 Sucuri的《2019年网站威胁研究报告》。

更多应对方法

• 如何提高WordPress站点安全？
• WordPress网站如何被黑客入侵
• 增强WordPress安全性的10个Nginx规则
• 15个有用的WordPress .htaccess 代码片段
• 15个常用的WordPress wp-config.php 配置代码
• WordPress文件读写权限建议
• WordPress安全管理及防火墙插件：All In One WP Security & Firewall
• 修改WordPress后台登录地址，提高安全性
• WordPress安全检查及修复插件：iThemes Security
• WordPress站点被挂马？如何预防、检测和应对？
• 10个最佳的免费WordPress安全插件