安全威脅有各種形式和大小,但有一條始終相關的建議:安裝最新更新。但是,有時沒有可用的安全補丁,因為您和軟件供應商會同時收到漏洞警報。
幸運的是,仍有一些方法可以確保您的網站安全。通過實施一些最佳實踐,您可以強化您的 WordPress 網站以抵御各種攻擊,包括可怕的零日漏洞。
在這篇文章中,我們將仔細研究這種安全威脅,以及為什么它在 WordPress 社區中受到如此重視。然后,我們將向您展示如何實現幾乎不可能的目標并保護您的站點免受尚未發現的漏洞的影響。讓我們開始吧!
零日漏洞簡介
零日漏洞因其獨特的名稱而立即脫穎而出。我們可以將“零日”一詞追溯到 1990 年代,當時盜版者通過公告板非法共享商業軟件。
社區按天對這個盜版軟件進行了分類。例如,如果某個特定軟件已公開提供 50 天,他們將其稱為 50 天軟件。
零日是指尚未正式向公眾發布的軟件。通常,零日代碼是通過侵入供應商的網絡并竊取未發布的程序而獲得的。有時,內部人員會泄露代碼。
安全行業已重新使用該術語來表示供應商已知但尚未提供補丁的漏洞。換句話說,安全漏洞將用戶置于風險之中,供應商有零天的時間來解決問題。
“漏洞窗口 (WoV)”是我們經常與零日一起使用的另一個術語。這是供應商了解漏洞和他們向公眾發布補丁之間的時間段。
通常與零日漏洞相關的最后一個相關術語是“永久日漏洞”。在這里,每個人都知道一個安全漏洞,原始開發人員無意修復它。
這通常是因為不再積極維護軟件。如果有問題的項目是開源的,那么可能有一些范圍可以深入研究代碼并自己解決問題。但是,作為一般規則,尋找仍在積極開發中的軟件是明智的。
零日漏洞的生命周期
社區發現和管理漏洞的方式可能會有所不同。但是,它通常始于研究人員或惡意第三方發現安全問題。此時,該漏洞被認為是零日漏洞,因為它是已知的,但沒有可用的修復程序。這也是 WoV 的開始。
供應商可能并不總是公開承認存在影響其軟件的零日漏洞。雖然這可能會讓使用該程序的人感到擔憂,但這是一個有助于保護盡可能多的人的戰術決定。
如果供應商宣布他們的軟件易受攻擊并且目前沒有可用的修復程序,他們實際上是在提醒黑客注意一個嚴重的安全問題。這可能會導致攻擊激增。
希望供應商能夠在創紀錄的時間內開發出修復程序。然后,他們可以發布補丁作為定期更新的一部分,或者作為緊急修復。
至此,WoV 結束。假設您安裝了安全更新,您的網站將不再面臨此特定漏洞的風險。
為什么保護您的 WordPress 網站很重要
WordPress 現在為超過 40% 的網絡提供支持。雖然這種受歡迎程度充分說明了它作為內容管理系統 (CMS) 的實力,但它也使 WordPress 成為黑客的主要目標。如果惡意第三方設法發現 WordPress 中的零日漏洞,它可能會利用這個單一的弱點來攻擊數百萬個網站。
有大量證據表明黑客正在積極瞄準 WordPress 漏洞。事實上,Wordfence 在一年內記錄了43 億次利用這些漏洞的嘗試。可悲的是,其中許多攻擊都是成功的。當 Patchstack 與 WordPress 社區討論安全問題時,它發現25% 的受訪者最近處理過一個被黑的網站。
如果惡意第三方確實設法未經授權訪問您的網站,后果可能是災難性的。攻擊者可能會破壞您的網站,誘騙您的訪問者下載病毒,或將他們重定向到垃圾網站。所有這些行為都會損害您的聲譽。在您解決了黑客問題之后,它們甚至可能會繼續影響您的流量和轉化率。
更糟糕的是,攻擊者可能會刪除甚至竊取您的數據。如果您經營電子商務網站,這可能包括您客戶的信用卡或借記卡詳細信息。這種公共關系 (PR) 災難可能會產生巨大的財務影響,數據泄露的平均總成本為 386 萬美元。
根據您的地理位置和違規的性質,它甚至可能使您陷入合法的熱水中。如果法院裁定您沒有采取足夠的措施來保護受眾的數據,則可能會被處以巨額罰款。
如何保護您的網站免受零日漏洞的影響(7 個提示)
當供應商宣布新的零日漏洞時,速度就是一切。為了幫助您采取行動,這里有七個技巧可幫助您加強網站免受可怕的零日漏洞的影響。
1.檢查更新
一旦開發人員發現漏洞,時鐘就會開始滴答作響。好消息是負責任的供應商和開發人員非常重視安全威脅,他們中的大多數人將立即著手修復。
每當您聽到零日威脅時,明智的做法是確保您運行的是受影響軟件的最新版本。您甚至可能會發現補丁已經可用。
要檢查WordPress 核心的更新,請導航到儀表板 > 更新。如果有新版本可用,您可以按照屏幕上的說明下載并安裝它。
即使儀表板確認您完全是最新的,仍然值得再次單擊 Check,以驗證您正在運行最新版本:
要檢查您的插件,請從 WordPress 儀表板中選擇插件,然后安裝任何可用的更新。您還可以使用批量操作下拉列表更新您的插件:
即使補丁不可用,修復也很可能迫在眉睫。因此,您可能需要考慮啟用自動更新。
要自動更新 WordPress 核心,請導航至儀表板 > 更新。然后您可以選擇以下鏈接:為所有新版本的 WordPress 啟用自動更新。現在,WordPress 將自動下載并安裝所有次要和主要版本。
要自動更新您的插件,請導航至Plugins > Installed Plugins。然后您可以選擇插件復選框。接下來,打開批量操作下拉菜單并選擇啟用自動更新 > 應用。
最后,您可以為您的 WordPress 主題啟用自動更新。要進行此更改,請導航至外觀 > 主題。然后將鼠標懸停在您的活動主題上,然后選擇Theme Details:
在隨后的屏幕上,選擇啟用自動更新。現在,一旦有新版本可用,您的主題就會自動更新。
2.禁用主題或插件
零日威脅可以影響任何項目,包括 WordPress 核心。但是,主題和插件更容易受到安全問題的影響。
WP White Security 在其 2021 年報告中發現了近 4,000 個 WordPress 插件漏洞。Patchstack 支持這一發現,他們的報告得出結論,超過 7000 萬個 WordPress 網站正在運行易受攻擊的插件和主題。
幸運的是,與 WordPress 核心的問題相比,主題和插件中的零日威脅通常更容易管理。如果原始開發者尚未發布補丁,您始終可以選擇刪除包含漏洞的主題或插件。
值得注意的是,禁用此軟件并不總是足夠的。即使插件或主題被停用,惡意第三方仍可能訪問和利用敏感文件。出于這個原因,我們始終建議禁用然后刪除有問題的軟件:
一些主題和插件對業務至關重要。如果您的站點依賴于特定的軟件,那么刪除它可能并不總是那么簡單。
但是,WordPress 擁有龐大的第三方軟件社區,因此多個主題和插件提供相同的最終結果的情況并不少見。即使您不準備放棄特定程序,您也可以暫時將其刪除,然后將其替換為等效的WordPress 插件或類似主題。
3.使用防火墻
許多安全程序依靠模式匹配來成功識別和阻止漏洞。然而,他們需要知道他們在尋找什么。即使是最好的軟件也可能難以抵御新發現的威脅。
這并不意味著您的網站沒有防御能力。您的安全軟件仍然可以阻止由于某人利用零日漏洞而產生的攻擊。特別是,防火墻可以保護您的 WordPress 網站免受許多常見攻擊,包括結構化查詢語言 (SQL) 注入和跨站點腳本 (XSS) 攻擊。
談到防火墻,您有多種選擇。如果您有非托管虛擬專用服務器 (VPS)、云 VPS或非托管專用服務器,則可以使用高級策略防火墻 (APF)保護您的系統。這使您能夠根據 IP 地址授予和拒絕訪問。
或者,您可以使用 iptables創建基于 IP 的訪問規則。您還可以使用 iptables 實用程序來授予和拒絕對選定設備的訪問權限。這使您可以完全控制進出服務器的所有內容,包括傳輸控制協議 (TCP) 和安全外殼 (SSH) 連接。
另一種選擇是使用諸如 Wordfence Security 之類的插件。此 Web 應用程序防火墻 (WAF) 檢查您網站的核心文件、主題和插件是否存在惡意軟件。它還監視您的站點是否存在惡意重定向和代碼注入,這可能表明存在潛在的零日漏洞:
為了防止誤報,在激活防火墻后將Wordfence 置于學習模式至少一周非常重要。這允許插件收集保護您的網站所需的所有數據,而不會錯誤地將合法行為標記為可疑。
4. 監控您的網站是否存在可疑行為
與防火墻類似,安全日志無法直接保護您的站點免受零日漏洞的影響。但是,它可以幫助您識別可疑行為和流量。
WP Activity Log是一個流行的插件,可以記錄各種活動。每次有人更改您的 WordPress 設置、主題、插件或數據庫時,此插件都會將其添加到您的活動日志中:
WP Activity Log 插件還將記錄任何多站點網絡更改。這包括添加、刪除或歸檔站點,以及刪除用戶。
如果有人創建、修改或刪除您的任何 WordPress 文件,這也會出現在您的活動日志中。如果您使用的是免費版本,您可以通過導航到WP 活動日志 > 日志視圖隨時查看活動日志:
但是,這依賴于您手動檢查日志視圖。這可能會導致發生可疑行為與您意識到存在潛在安全威脅之間的延遲。
如果您升級到高級版,每當有人對您的網站進行重要更改時,WP 活動日志都會向您發送短信或電子郵件通知。這使您處于更有利的位置,可以在攻擊發生時立即做出響應。
5. 及時了解最新的安全新聞
每當供應商發現安全威脅時,他們都會通過漏洞披露通知受影響的各方。這個過程是有爭議的,也是經常爭論的主題,因為保證大多數用戶的安全通常意味著推遲發布,直到修復可用。
這可以最大限度地減少意識到安全漏洞的潛在黑客的數量。但是,這也意味著您可能在不知不覺中在您的網站上運行了不安全的軟件。
還有安全研究人員的問題,他們通常是發現這些漏洞的人。公開宣布他們發現了一個安全漏洞對他們來說是一個很好的廣告。盡管有這種激勵措施,大多數負責任的安全研究人員仍會與供應商達成協議。這通常涉及延遲發布他們的報告,直到找到解決方案。
但是,一些零日漏洞會在補丁發布之前公布。更糟糕的是,有時安全漏洞會在沒有提前通知供應商的情況下成為公眾所知。當惡意第三方最先發現漏洞時,這種情況尤其常見。這些人通常希望盡可能多的黑客從他們的發現中獲利。
無論您對該主題的立場如何,如果漏洞確實成為常識,那么您會想知道它。為了讓您掌握 WordPress 安全的脈搏,請關注熱門博客,例如Sucuri WordPress 安全、官方 WordPress 博客和Wordfence 博客:
對于最新的更新,在社交媒體上關注這些網站也可能會有所幫助,或者您可以訂閱WP Security Blogger 聚合器。另一種選擇是為與 WordPress 安全相關的單詞和短語創建Google 警報。
6. 加入披露郵件列表
有許多不同的郵件列表專門用于共享漏洞披露,但最廣為人知的郵件列表之一是Full Disclosure。通過加入此郵件列表,您將收到有關最新安全威脅的電子郵件通知:
但是,完全披露不是 WordPress 特定的列表,因此您可能會被更新所淹沒。假設您只對 WordPress 平臺的威脅感興趣,我們建議您設置一些電子郵件過濾器。這可以確保當您收到完全披露通知時,您將能夠立即采取行動。同樣,您可能還想訂閱Wordfence 的 WordPress 安全郵件列表。
7. 選擇安全托管服務提供商
沒有托管服務提供商可以承諾讓您的網站免受尚未發現的漏洞的影響。但是,好的主機將具有安全功能,使攻擊者更難以利用這些弱點。
讓我們看一個例子。黑客可能會嘗試使用零日漏洞對您的網站發起 XSS 攻擊。您的托管服務提供商可能完全沒有意識到這個全新的安全漏洞。但是,他們可能仍然能夠阻止 XSS 攻擊。這將防止黑客破壞您的網站或竊取您的數據。
我們所有的主機包都有一系列內置的安全功能,包括HackScan 保護。這有助于在惡意第三方對您的網站造成嚴重損害之前阻止他們:
我們還提供 KernelCare 無重啟更新和雙防火墻,并提供 Cloudflare 作為標準 CDN。Cloudflare 尤其可以識別和阻止惡意請求。這包括可能試圖利用零日漏洞的請求。
結論
預測未來是不可能的,這意味著為零日漏洞做好準備并不容易。幸運的是,現在通過遵循一些安全最佳實踐,您可以使您的網站更不容易受到各種攻擊,包括難以捉摸的零日威脅。
記錄器和防火墻等安全工具會使黑客更難利用尚未發現的弱點來攻擊您。我們還建議通過關注流行的 WordPress 博客并訂閱諸如Full Disclosure之類的專業郵件列表,了解最新的核心、主題和插件新聞。
借助可供您使用的正確工具、技術和資源,可以抵御嚴重的零日威脅。但是,您選擇的托管服務提供商也很重要。我們提供了多種安全功能,以幫助您確保您的網站可以應對任何事情,包括未知!
