是时候放弃WordPress网站了吗?

随着WordPress变成相当于瑞士奶酪的安全性,可能是时候停止在线使用WordPress并开始使用更容易捍卫的内容

黑客
Zodman / Flickr

Malwarebytes的报道塞伯海斯纽斯还有其他消息来源,即出乎意料的大浪潮已经击中了数千个WordPress站点(被描述为“怪异的WordPress Hack”,仅适合标题的BuzzFeed风格)。攻击被描述为:

Malwarebytes高级安全研究员JérômeSegura在周三发表的博客文章中写道:“ WordPress网站注入了巨大的流氓代码混乱,对似乎主持广告的域进行了无声的重定向。”“这是一个分散注意力(和欺诈),因为广告中塞满了更多的代码,这些代码将访客带入核漏洞套件。”

核利用套件这是一种非常复杂的机制,用于分析和与浏览器交互并交付恶意软件,用于传播Cryptowall勒索软件作为网站所有者,您不想发放它,或者作为受感染网站的用户,您不想收缩。

在这一点上,我需要包括处理勒索软件的强制性规则:

  1. 确保您有备份
  2. 确保可以恢复备份
  3. 不要与赎金或支付赎金
  4. 向联邦调查局的赎金尝试报告互联网犯罪投诉中心(IC3)
  5. 找出如何被感染,然后堵塞孔
  6. 更新您的网络安全计划

我必须注意,去年联邦调查局发言人做到了,实际上,关于Cryptowall的以下内容:

勒索软件太好了...老实说,我们经常建议人们仅支付赎金。

从实际的角度来看,这都是可怕的建议(即使您付款,您也可能不会解密数据)和道德上的建议(付费公羊会鼓励更多人质劫持人质)。不,没有任何借口无法从备份中恢复文件并忽略赎金要求。但是我离题...

WordPress徽标HOZ RGB 维基百科

如今,WordPress已经变得非常容易受到黑客攻击,因为它是开源的,因此非常了解,经营着所有网站的30%,并且考虑到大量的第三方添加(主题,插件等),确保了任何给定的任何给定的安装是防黑客的,非常困难。“啊!”您可能会喃喃自语,“肯定会保留WordPress和您的插件的最新内容是答案吗?”好吧,我的朋友,您可能想这样想,但似乎最新的黑客hacking wordpress可能涉及一个或多个零日漏洞。WordPress生态系统的规模和复杂性使所谓的大型攻击表面

我运行了许多由WordPress驱动的网站,在其中一个网站上,我最近通过插件的电子邮件功能启用了通知404至301。这个插件重定向404个错误,该错误是由对不存在的内容的请求生成的,通过将其更改为301、302、307服务器端重定向。我以前没有费心启用电子邮件通知,因为几年前我尝试了一个月的时间时,插件没有产生任何警报。但是,当我最近启用通知时,我惊讶地看到黑客可能寻找的各种内容的请求浪潮/404.php,,,,/wp-content/themes/fonts/fontawesome-webfont.svg = 4.1.0, 和/wp-includes/simplepie/net/ipv7.php。这些可能都是潜在的脆弱性,这些要求主要来自德国,荷兰和俄罗斯,但他的特定网站由Wordfence辩护(大约一年前我写的),到目前为止,一切都很好;我们仍然不妥协。

顺便说一下,如果您正在寻找备份解决方案,则您的WordPress网站考虑上升插件它可以使用整个存储目的地,包括S3,Dropbox,Google Drive,Rackspace,FTP,SFTP,WebDAV以及电子邮件和备份,也可以手动或自动备份。它还可以复制和迁移站点,自安装上升气流以来两次,它节省了我的培根。为了增加安全性,您可能会考虑安装插件漏洞这会检查您的已知插件与具有已知安全性问题的插件列表,并在出现新问题时警告您。

但是,鉴于被黑客入侵的风险,从站点污损到盗窃敏感数据到成为访问者的恶意软件来源,您必须问自己是否仍然有效地和精力有效地确保您的网站和网站和,更重要的是,如果可以暴露敏感数据,您是否可以承受补救和可能的诉讼风险?注意网络保险,这听起来像是对灾难的良好对冲,除非您能够证明自己已行使“适当的护理”,否则鉴于所涉及的问题,这可能很棘手。

博客1 维基百科

那么,还有什么选择?答案可能是一个“平坦的地点”;即,一个不含数据库和后端代码的站点,而是一堆静态HTML,CSS和客户端JavaScript,可以锁定并轻松检查未经授权的修改。您仍然需要用于表单提交等事项的服务器端服务,但使用第三方服务,例如jotform或者FormStack消除运行自己的后端服务的大多数漏洞

对于WordPress网站,您可以创建网站的本地或有安全的版本(即不公开访问),然后将其保存为静态HTML文件,然后将其上传到您的公共网站。这可能会根据各种因素而起作用,也可能不起作用,但绝对值得尝试没有动态内容的网站,该网站在运行时取决于后端服务(请参阅创建动态网站的静态副本讨论涉及的陷阱);它也将使您的网站更快!

还有用于自动从WordPress安装创建静态内容的插件,例如真的很静止只是静态这可能很有用(我必须注意我也没有尝试过,因此,如果您对什么有效和无效的想法有任何想法,请告诉我)。

我还一直在寻找一些跳过整个WordPress方面并从模板中生成平坦内容的有趣替代方法。如果您还没有看杰基仙人掌(后者仅适用于OS X)并且您正在启动一个新的Web项目,这些方法绝对值得考虑。有关更多工具选项,请查看sticgen,一个精心策划的静态站点生成器列表。

想法?建议?给我通过电子邮件反馈或下面评论,然后关注我推特Facebook

加入网络世界社区有个足球雷竞技appFacebookLinkedIn评论最重要的主题。
有关的:

马克·吉布斯(Mark Gibbs)是一位作家,记者和神秘的人。30多年来,吉布斯一直在计算机行业的沼泽中涉水。

版权所有©2016Raybet2

IT工资调查2021:结果在