保护您的网站免受零日漏洞影响的7个提示

安全威胁有各种形式和大小,但有一条始终相关的建议:安装最新更新。但是,有时没有可用的安全补丁,因为您和软件供应商会同时收到漏洞警报。

幸运的是,仍有一些方法可以确保您的网站安全。通过实施一些最佳实践,您可以强化您的 WordPress 网站以抵御各种攻击,包括可怕的零日漏洞。

保护您的网站免受零日漏洞影响的7个提示-南华中天

在这篇文章中,我们将仔细研究这种安全威胁,以及为什么它在 WordPress 社区中受到如此重视。然后,我们将向您展示如何实现几乎不可能的目标并保护您的站点免受尚未发现的漏洞的影响。让我们开始吧!

零日漏洞简介

零日漏洞因其独特的名称而立即脱颖而出。我们可以将“零日”一词追溯到 1990 年代,当时盗版者通过公告板非法共享商业软件。

社区按天对这个盗版软件进行了分类。例如,如果某个特定软件已公开提供 50 天,他们将其称为 50 天软件。

零日是指尚未正式向公众发布的软件。通常,零日代码是通过侵入供应商的网络并窃取未发布的程序而获得的。有时,内部人员会泄露代码。

安全行业已重新使用该术语来表示供应商已知但尚未提供补丁的漏洞。换句话说,安全漏洞将用户置于风险之中,供应商有零天的时间来解决问题。

“漏洞窗口 (WoV)”是我们经常与零日一起使用的另一个术语。这是供应商了解漏洞和他们向公众发布补丁之间的时间段。

通常与零日漏洞相关的最后一个相关术语是“永久日漏洞”。在这里,每个人都知道一个安全漏洞,原始开发人员无意修复它。

这通常是因为不再积极维护软件。如果有问题的项目是开源的,那么可能有一些范围可以深入研究代码并自己解决问题。但是,作为一般规则,寻找仍在积极开发中的软件是明智的。

保护您的网站免受零日漏洞影响的7个提示-南华中天

零日漏洞的生命周期

社区发现和管理漏洞的方式可能会有所不同。但是,它通常始于研究人员或恶意第三方发现安全问题。此时,该漏洞被认为是零日漏洞,因为它是已知的,但没有可用的修复程序。这也是 WoV 的开始。

供应商可能并不总是公开承认存在影响其软件的零日漏洞。虽然这可能会让使用该程序的人感到担忧,但这是一个有助于保护尽可能多的人的战术决定。

如果供应商宣布他们的软件易受攻击并且目前没有可用的修复程序,他们实际上是在提醒黑客注意一个严重的安全问题。这可能会导致攻击激增。

希望供应商能够在创纪录的时间内开发出修复程序。然后,他们可以发布补丁作为定期更新的一部分,或者作为紧急修复。

至此,WoV 结束。假设您安装了安全更新,您的网站将不再面临此特定漏洞的风险。

为什么保护您的 WordPress 网站很重要

WordPress 现在为超过 40% 的网络提供支持。虽然这种受欢迎程度充分说明了它作为内容管理系统 (CMS) 的实力,但它也使 WordPress 成为黑客的主要目标。如果恶意第三方设法发现 WordPress 中的零日漏洞,它可能会利用这个单一的弱点来攻击数百万个网站。

有大量证据表明黑客正在积极瞄准 WordPress 漏洞。事实上,Wordfence 在一年内记录了43 亿次利用这些漏洞的尝试。可悲的是,其中许多攻击都是成功的。当 Patchstack 与 WordPress 社区讨论安全问题时,它发现25% 的受访者最近处理过一个被黑的网站。

保护您的网站免受零日漏洞影响的7个提示-南华中天

如果恶意第三方确实设法未经授权访问您的网站,后果可能是灾难性的。攻击者可能会破坏您的网站,诱骗您的访问者下载病毒,或将他们重定向到垃圾网站。所有这些行为都会损害您的声誉。在您解决了黑客问题之后,它们甚至可能会继续影响您的流量和转化率。

更糟糕的是,攻击者可能会删除甚至窃取您的数据。如果您经营电子商务网站,这可能包括您客户的信用卡或借记卡详细信息。这种公共关系 (PR) 灾难可能会产生巨大的财务影响,数据泄露的平均总成本为 386 万美元。

根据您的地理位置和违规的性质,它甚至可能使您陷入合法的热水中。如果法院裁定您没有采取足够的措施来保护受众的数据,则可能会被处以巨额罚款。

如何保护您的网站免受零日漏洞的影响(7 个提示)

当供应商宣布新的零日漏洞时,速度就是一切。为了帮助您采取行动,这里有七个技巧可帮助您加强网站免受可怕的零日漏洞的影响。

1.检查更新

一旦开发人员发现漏洞,时钟就会开始滴答作响。好消息是负责任的供应商和开发人员非常重视安全威胁,他们中的大多数人将立即着手修复。

每当您听到零日威胁时,明智的做法是确保您运行的是受影响软件的最新版本。您甚至可能会发现补丁已经可用。

要检查WordPress 核心的更新,请导航到仪表板 > 更新。如果有新版本可用,您可以按照屏幕上的说明下载并安装它。

保护您的网站免受零日漏洞影响的7个提示-南华中天

即使仪表板确认您完全是最新的,仍然值得再次单击 Check,以验证您正在运行最新版本:

要检查您的插件,请从 WordPress 仪表板中选择插件,然后安装任何可用的更新。您还可以使用批量操作下拉列表更新您的插件:

即使补丁不可用,修复也很可能迫在眉睫。因此,您可能需要考虑启用自动更新。

要自动更新 WordPress 核心,请导航至仪表板 > 更新。然后您可以选择以下链接:为所有新版本的 WordPress 启用自动更新。现在,WordPress 将自动下载并安装所有次要和主要版本。

要自动更新您的插件,请导航至Plugins > Installed Plugins。然后您可以选择插件复选框。接下来,打开批量操作下拉菜单并选择启用自动更新 > 应用。

最后,您可以为您的 WordPress 主题启用自动更新。要进行此更改,请导航至外观 > 主题。然后将鼠标悬停在您的活动主题上,然后选择Theme Details:

在随后的屏幕上,选择启用自动更新。现在,一旦有新版本可用,您的主题就会自动更新。

2.禁用主题或插件

零日威胁可以影响任何项目,包括 WordPress 核心。但是,主题和插件更容易受到安全问题的影响。

WP White Security 在其 2021 年报告中发现了近 4,000 个 WordPress 插件漏洞。Patchstack 支持这一发现,他们的报告得出结论,超过 7000 万个 WordPress 网站正在运行易受攻击的插件和主题。

幸运的是,与 WordPress 核心的问题相比,主题和插件中的零日威胁通常更容易管理。如果原始开发者尚未发布补丁,您始终可以选择删除包含漏洞的主题或插件。

保护您的网站免受零日漏洞影响的7个提示-南华中天

值得注意的是,禁用此软件并不总是足够的。即使插件或主题被停用,恶意第三方仍可能访问和利用敏感文件。出于这个原因,我们始终建议禁用然后删除有问题的软件:

一些主题和插件对业务至关重要。如果您的站点依赖于特定的软件,那么删除它可能并不总是那么简单。

但是,WordPress 拥有庞大的第三方软件社区,因此多个主题和插件提供相同的最终结果的情况并不少见。即使您不准备放弃特定程序,您也可以暂时将其删除,然后将其替换为等效的WordPress 插件或类似主题。

3.使用防火墙

许多安全程序依靠模式匹配来成功识别和阻止漏洞。然而,他们需要知道他们在寻找什么。即使是最好的软件也可能难以抵御新发现的威胁。

这并不意味着您的网站没有防御能力。您的安全软件仍然可以阻止由于某人利用零日漏洞而产生的攻击。特别是,防火墙可以保护您的 WordPress 网站免受许多常见攻击,包括结构化查询语言 (SQL) 注入和跨站点脚本 (XSS) 攻击。

谈到防火墙,您有多种选择。如果您有非托管虚拟专用服务器 (VPS)、云 VPS或非托管专用服务器,则可以使用高级策略防火墙 (APF)保护您的系统。这使您能够根据 IP 地址授予和拒绝访问。

或者,您可以使用 iptables创建基于 IP 的访问规则。您还可以使用 iptables 实用程序来授予和拒绝对选定设备的访问权限。这使您可以完全控制进出服务器的所有内容,包括传输控制协议 (TCP) 和安全外壳 (SSH) 连接。

另一种选择是使用诸如 Wordfence Security 之类的插件。此 Web 应用程序防火墙 (WAF) 检查您网站的核心文件、主题和插件是否存在恶意软件。它还监视您的站点是否存在恶意重定向和代码注入,这可能表明存在潜在的零日漏洞:

为了防止误报,在激活防火墙后将Wordfence 置于学习模式至少一周非常重要。这允许插件收集保护您的网站所需的所有数据,而不会错误地将合法行为标记为可疑。

4. 监控您的网站是否存在可疑行为

与防火墙类似,安全日志无法直接保护您的站点免受零日漏洞的影响。但是,它可以帮助您识别可疑行为和流量。

WP Activity Log是一个流行的插件,可以记录各种活动。每次有人更改您的 WordPress 设置、主题、插件或数据库时,此插件都会将其添加到您的活动日志中:

WP Activity Log 插件还将记录任何多站点网络更改。这包括添加、删除或归档站点,以及删除用户。

如果有人创建、修改或删除您的任何 WordPress 文件,这也会出现在您的活动日志中。如果您使用的是免费版本,您可以通过导航到WP 活动日志 > 日志视图随时查看活动日志:

但是,这依赖于您手动检查日志视图。这可能会导致发生可疑行为与您意识到存在潜在安全威胁之间的延迟。

如果您升级到高级版,每当有人对您的网站进行重要更改时,WP 活动日志都会向您发送短信或电子邮件通知。这使您处于更有利的位置,可以在攻击发生时立即做出响应。

5. 及时了解最新的安全新闻

每当供应商发现安全威胁时,他们都会通过漏洞披露通知受影响的各方。这个过程是有争议的,也是经常争论的主题,因为保证大多数用户的安全通常意味着推迟发布,直到修复可用。

这可以最大限度地减少意识到安全漏洞的潜在黑客的数量。但是,这也意味着您可能在不知不觉中在您的网站上运行了不安全的软件。

还有安全研究人员的问题,他们通常是发现这些漏洞的人。公开宣布他们发现了一个安全漏洞对他们来说是一个很好的广告。尽管有这种激励措施,大多数负责任的安全研究人员仍会与供应商达成协议。这通常涉及延迟发布他们的报告,直到找到解决方案。

但是,一些零日漏洞会在补丁发布之前公布。更糟糕的是,有时安全漏洞会在没有提前通知供应商的情况下成为公众所知。当恶意第三方最先发现漏洞时,这种情况尤其常见。这些人通常希望尽可能多的黑客从他们的发现中获利。

无论您对该主题的立场如何,如果漏洞确实成为常识,那么您会想知道它。为了让您掌握 WordPress 安全的脉搏,请关注热门博客,例如Sucuri WordPress 安全、官方 WordPress 博客和Wordfence 博客:

对于最新的更新,在社交媒体上关注这些网站也可能会有所帮助,或者您可以订阅WP Security Blogger 聚合器。另一种选择是为与 WordPress 安全相关的单词和短语创建Google 警报。

6. 加入披露邮件列表

有许多不同的邮件列表专门用于共享漏洞披露,但最广为人知的邮件列表之一是Full Disclosure。通过加入此邮件列表,您将收到有关最新安全威胁的电子邮件通知:

但是,完全披露不是 WordPress 特定的列表,因此您可能会被更新所淹没。假设您只对 WordPress 平台的威胁感兴趣,我们建议您设置一些电子邮件过滤器。这可以确保当您收到完全披露通知时,您将能够立即采取行动。同样,您可能还想订阅Wordfence 的 WordPress 安全邮件列表。

7. 选择安全托管服务提供商

没有托管服务提供商可以承诺让您的网站免受尚未发现的漏洞的影响。但是,好的主机将具有安全功能,使攻击者更难以利用这些弱点。

让我们看一个例子。黑客可能会尝试使用零日漏洞对您的网站发起 XSS 攻击。您的托管服务提供商可能完全没有意识到这个全新的安全漏洞。但是,他们可能仍然能够阻止 XSS 攻击。这将防止黑客破坏您的网站或窃取您的数据。

我们所有的主机包都有一系列内置的安全功能,包括HackScan 保护。这有助于在恶意第三方对您的网站造成严重损害之前阻止他们:

我们还提供 KernelCare 无重启更新和双防火墙,并提供 Cloudflare 作为标准 CDN。Cloudflare 尤其可以识别和阻止恶意请求。这包括可能试图利用零日漏洞的请求。

结论

预测未来是不可能的,这意味着为零日漏洞做好准备并不容易。幸运的是,现在通过遵循一些安全最佳实践,您可以使您的网站更不容易受到各种攻击,包括难以捉摸的零日威胁。

记录器和防火墙等安全工具会使黑客更难利用尚未发现的弱点来攻击您。我们还建议通过关注流行的 WordPress 博客并订阅诸如Full Disclosure之类的专业邮件列表,了解最新的核心、主题和插件新闻。

借助可供您使用的正确工具、技术和资源,可以抵御严重的零日威胁。但是,您选择的托管服务提供商也很重要。我们提供了多种安全功能,以帮助您确保您的网站可以应对任何事情,包括未知!