让我们先弄清楚一件事:WordPress作为一个新安装的CMS并不是特别脆弱,如果你想创建一个安全的网站,它仍然是一个强大的选择。然而,由于WordPress的流行,它经常成为黑客的目标,寻求访问热门网站。黑客攻击相当罕见的事实证明了开发者和WordPress社区所付出的努力。经常给WordPress安装带来漏洞的问题是插件的不恰当使用:特别是,使用了很久都停止更新的插件。为什么这些插件会危害你的网站,你该如何防范呢?在这篇博客中,我们将尝试澄清这个问题,并给出一些建议。你添加到你的WordPress站点的每个插件(即使它是一个旨在提高安全性的插件)都会在技术上增加一个漏洞点。这是一个简单的概念:来自第三方源代码的额外代码(甚至是受信任的源代码)可能会进一步暴露您的整个系统。现代的安全标准相当高,网站需要对用户数据进行严密保护,同时通过PCI等标准锁定交易。一个薄弱的环节就能打破整个链条,对你的网站、业务和声誉造成不可估量的损害。大多数时候,添加的插件不是问题,因为它有自己的安全更新,就像WordPress一样,开发人员会在发现问题后很快设计一个补丁。然而,情况并非总是如此。当一个WordPress插件被放弃时,最近更新的版本会变得越来越过时,并且仍然安装在许多系统上。这个插件甚至可以在WP.org上下载,直到开发人员记得将其离线。值得庆幸的是,解决这个问题相当简单:只要找到插件并禁用或卸载它。我们通常建议卸载插件,而不是禁用它,除非你有充分的理由认为它可能会在不久的将来更新。你还需要注意过时的插件如何与其他插件和你的网站交互,因为删除插件后可能会出现问题。例如,如果你删除了一个限制用户密码尝试次数的插件,这可能会导致潜在的安全问题,如果有必要,你需要找到一个足够的替换。如果你删除了一个过时的插件,但发现它在你的网站的日常运行中扮演了重要的角色,并且在市场上找不到任何类似的插件。你应该怎么做?WordPress给你从多个来源(不仅仅是WP.org列表)获取插件的自由,但这可能会让你在使用这些插件时处于潜在的危险地位。对于大多数人,特别是那些在网上经营业务的人来说,现代SaaS模式的限制令人感到欣慰。例如,在电子商务网站中使用托管CMS已经变得非常流行,因为它提供了定制选项和有保证的安全性的良好组合。尽管从原则上讲,你可以用WordPress做更多的事情,但有这么多不同的选择可能会让人困惑。如果你发现自己处在一个不太可能的位置,你觉得有必要删除一个插件,并且找不到可行的替代插件来填补这个空白,你有两个现实的选择来解决它。要么雇佣一个WordPress开发人员来编写一个替换程序,要么尝试使用现有的系统来复制功能(如果你能掌握像Zapier和IFTTT这样的工具,可以用来实现一些显著的自动化)。开发人员专业知识的重要性意味着并非所有的插件都是平等的。开发者的专业知识、声誉和总体可靠性只是一些因素,这些因素决定了知名开发者所创造的插件是否具有可靠的盈利策略。也许你不会就像在插件上花钱一样,付费让开发人员继续工作,并使他们能够不断更新他们的软件。这是与其他插件相比,你可能正在使用的是由一个业余爱好者,几乎没有意图维护它。最明智的做法是在安装并开始依赖插件之前,仔细考虑插件的开发人员。一定要查看他们的评论。当涉及到更新价值和一致性时,研究他们的记录。他们有你可以关注的博客吗?如果你坚持使用从他们的工作中获利的开发人员,你可以相当有信心,他们会继续更新和维护插件,这将有助于降低你的网站被过时的插件攻击的可能性。确保你的插件保持最新的最好方法之一就是使用UpdraftCentral。这个强大的远程控制WordPress不仅可以让你集中管理和更新你的主题,插件和核心,只需点击一下,但也备份和控制所有的网站,UpdraftPlus安装在云端的一个中心位置。如果您太忙或有太多的站点无法进行可靠的更新,您也可以使用Easy Updates Manager。该服务自动使站点保持最新和无bug。即使你仔细地选择了你的插件,也要留意那些过时的、很久都没有更新的插件,如果可能的话,当你发现它们时,要采取行动删除它们。然而,总会有一些潜在的看不见的危险,因为开发人员可能会停止全力更新他们的插件,这可能导致漏洞没有修补,尽管更新已经发布。由于这些潜在的安全问题,您需要采取更多措施来保证站点的安全。最好的方法之一就是使用UpdraftPlus定期备份你的网站。一定要在安装或更新插件之前创建备份,并定期安排新的备份,以防止任何不可预见的问题。如果因为一个易受攻击的插件而出现任何问题,你可以使用UpdraftPlus恢复到现有的备份,这时你可以删除有问题的插件并照常进行。总之,失效的WordPress插件是一种威胁,因为它们可以允许漏洞潜入你原本安全的WordPress站点。为了保证安全,要有选择性,保持警惕,在需要的时候采取行动,用UpdraftPlus备份你的网站。
罗德尼·劳斯
