保护您的网站免遭恶意软件攻击
保护您的网站免遭恶意软件攻击
恶意软件(Malware)是指任何故意损害计算机、服务器、客户端或网络的软件。本文将介绍恶意软件的危害以及如何保护网站免受恶意软件攻击。
关于恶意软件
恶意软件(Malware,malicious software的简称)是指任何故意损害计算机、服务器、客户端或网络的软件。恶意软件以多种方式出现,包括计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件等。
恶意软件通常被怀有恶意的人用来窃取个人、财务或商业信息。恶意软件可用于获取个人信息,例如个人识别号或详细信息、银行卡或信用卡账号及密码。
恶意软件通常源自:
- 操作系统、应用程序或插件中的安全缺陷/漏洞。
- 通常需要付费购买的插件和主题的免费版本。
- 权限过高的用户:站点上的用户被授予了完全的管理员角色,但对于他们需要执行的任务来说,较低的权限级别(如编辑或作者)更为合适。
- 权限过高的代码:软件被授予了超过其实现预期功能所需的权限或访问权限。
保护您的站点免遭恶意软件攻击
使用WordPress.com的免费、个人版和高级版套餐的站点不会遭受恶意软件的攻击。先进的防火墙和其他安全措施可确保站点安全。
而使用更高级别套餐的站点则可能会面临感染恶意软件的风险,因为这些站点可以运行自定义代码(包括插件、第三方主题),从而可能会引入漏洞。通过Jetpack的安全功能(如备份和安全扫描)来提供保护,但这并不能确保站点100%不受恶意软件或其他安全问题的侵扰。
要保护站点免遭恶意软件攻击,请考虑以下建议:
- 仅从安全、可靠的来源(如WordPress.com插件和主题库、WordPress.org)或直接从知名开发者的网站安装插件、主题和其他代码。
- 如果不确定插件或主题的来源,请勿将其安装于站点。
- 如果插件或主题有差评(或根本没有评论),请先谨慎思考,再确定是否要将其安装于站点。
- 如果发现有站点提供“免费”版本的高级或付费插件和主题,请勿下载或安装。这些站点通常被用作诱饵,以诱导安装经修改后包含恶意软件的插件或主题版本。
- 确保定期更新插件和主题(如果支持,请启用自动更新功能),以便始终使用最安全的版本。
安全插件
在其他WordPress托管服务提供商处,站点所有者通常需要自行使用第三方插件设置恶意软件和安全扫描。而在WordPress.com,会替用户处理这项事务。因此,部分安全插件无法安装到WordPress.com上,因为它们会干扰已经在保护网站的内置流程。
WordPress.com如何防范恶意软件
本指南的此部分适用于使用WordPress.com商务版和电商版套餐以及旧版专业版套餐的站点。如果您有商务版套餐,请确保将其激活。对于使用免费套餐、个人版套餐和高级版套餐的站点,请升级套餐以使用此功能。
站点每天会自动备份一次。与此同时,每天都会通过Jetpack Scan(在所有WordPress.com站点上启用的安全工具)自动扫描站点是否存在恶意软件和其他安全漏洞。
有专门的团队来积极监控并帮助解决扫描到的问题。相关的解决方案包括删除恶意代码、删除危险插件或主题,以及在可能的情况下将受攻击的插件替换为安全版本。还会尝试通过热门的第三方插件和主题来缓解主要安全问题,这样即使软件未更新,已知漏洞也不会遭到利用。
要查看扫描历史记录,以了解站点过去遭遇的所有主动威胁,请执行以下步骤:
- 访问站点的仪表盘。
- 导航至“Jetpack → 扫描”。
- 滚动浏览安全威胁,可以在其中展开更多有关威胁的详细信息:
如果在网站上检测到恶意软件,会迅速采取行动,删除受影响的文件或目录。这可能会导致站点的外观或功能发生更改,因此如果出现这种情况,会通过电子邮件通知用户。如果恶意软件威胁来自站点上的第三方插件或主题,建议向该插件或主题的开发者报告此问题,他们可以提供不含恶意代码的更新版本。
请注意,故意托管恶意软件违反服务条款。
⚠️
如果计划将站点从其他托管服务提供商迁移到WordPress.com,请在迁移前确保它没有恶意软件和其他安全问题。
本文原文来自WordPress.com支持页面