插件可以为您的小型企业网站做很多事情。您可以使用它们来加快您的 WordPress 网站加载速度,使您的内容可共享,为您的营销列表收集访问者电子邮件地址,并在搜索结果中做得更好。更好的是,许多可以升级您的网站和商业博客的最佳 WordPress 插件都是免费的。
确保您选择的插件信誉良好且安全非常重要。不幸的是,人们可以并且确实在利用插件。通常,这涉及将恶意脚本注入到具有安全漏洞的插件中。
这些恶意脚本有什么作用?可能性包括网站接管、间谍软件安装和加密货币挖掘,以及从电子商务网站窃取客户信息和信用卡数据。
这并不是说 WordPress 不安全。在 2021 年 1 月至 2021 年 7 月期间,研究人员仅在核心软件中发现了三个漏洞,并且已修复这些漏洞。但是,由于来自几乎同样多的发布者的数以万计的插件,插件出现安全问题的可能性高于平台本身。
您的 WordPress 插件是否面临威胁?
选择插件有点像买车。当然,您需要性能,但您也需要安全、可靠且易于维护的东西。您选择一家信誉良好的汽车经销商并阅读评论,所以您不会买柠檬。而且您应该从可靠的来源获得评价最高的插件,这样您就不会最终遇到恶意插件或具有已知安全漏洞的插件。
安全专家认为WordPress.org 的插件目录是最安全的插件来源。拥有超过 59,000 个插件,您不会用完所有选项,并且该网站会征求用户的反馈和评论。
WordPress.org 上的一些食谱插件
下载前查看这些评论——不仅是星级,还有用户反馈。查看人们喜欢该插件的哪些方面。了解他们在使用原始插件或更新时遇到的任何问题。了解发布者对该插件的支持程度。
还要检查活动安装的数量,以了解有多少用户信任该插件。一个好的插件可能只有几百个用户,但是一个拥有数千个用户的插件却赢得了很多信任。
等等,我的虚拟主机没有为我提供安全保障吗?
您的虚拟主机确实处理了很多安全问题,包括对托管您网站的服务器的物理和数字保护。您的特定托管计划也可能包括您网站的安全功能。例如,HostGator 的托管 WordPress 托管计划包括CodeGuard 自动每日网站备份、用于检测和删除站点恶意软件的 SiteLock,以及使用 SpamAssassin 在您域的电子邮件帐户上防止垃圾邮件。
这些保护层可以节省您的时间,因此您可以专注于您网站的特定安全需求:保持您的 WordPress 版本、您的主题和您的插件是最新的,并确保更新不会破坏您的网站(每天更新的另一个原因备份非常重要)。
请记住:安全功能可能因虚拟主机和托管计划而异。如有疑问,请咨询您计划的支持团队,以确定提供了哪些安全功能。
检查与最新版本 WordPress 的兼容性
因此,您找到了一个评价良好且用户众多的插件。在您下载它之前,请确保它与您的 WordPress 版本兼容。(为了安全和性能,您也应该始终在 WordPress 上更新您自己的网站。)
为确保您的插件和 WordPress 兼容,您需要了解当前的 WordPress 版本。您可以通过转到 WordPress 仪表板并单击“更新”来找到它。您会看到一条通知,告知您是否正在运行最新版本并提供版本号。
如果您使用的是最新版本的 WordPress,您会看到如下所示的消息:
如果您运行的是旧版本的 WordPress,您会看到一条看起来像这样的消息,其中有一个按钮邀请您更新:
您还需要验证您想要的插件是最新的。大多数插件作者都善于更新他们的产品,但有时插件会被放弃,或者更新速度很慢。如果您在 WordPress.org 的插件页面顶部看到黄框通知,请注意它。
过时插件页面上的警告
还可以查看页面上的规格框,了解它使用的 WordPress 版本以及最近更新的时间。
WordPress 现在是 5.8 版本,所以这个插件已经严重过时了。
此示例插件可能无法在当前版本的 WordPress 上正常工作。它还可能存在黑客可以利用的安全漏洞。事实上,使用旧的、过时的插件攻击站点(包括废弃的网站)是攻击者最喜欢的策略,他们希望为自己的恶意项目劫持站点。
如果您选择的插件兼容,请继续尝试。如果您认为它不适合您的网站,请将其删除。否则,您将不得不继续维护它,即使您没有使用它。
这将我们带到了好的插件变坏的最常见方式。当用户不更新它们时,黑客可能会利用它们。
保持 WordPress 和您的插件是最新的
就像所有用代码制作的东西一样,WordPress 和插件会获得新功能、改进和修复的更新。有时这些问题是影响插件外观或操作方式的小问题。有时它们是安全漏洞,需要修补以防止黑客进入您的站点。
当发布者宣布安全更新时,黑客也会看到它们。他们开始检查尚未进行更新的站点——通常使用可以快速大规模扫描和识别易受攻击站点的机器人。
即使您对当前版本的 WordPress 和您的插件感到满意,您仍然需要更新。WordPress 和一些插件允许您将它们设置为自动更新,这是您应该做的。对于其余部分,您有几个选项可以让事情保持最新。
1. 制定您自己的手动更新时间表。
如果您能够承诺每周至少检查一次您的站点以获取更新通知,则此方法可以奏效。如果您在忙碌时倾向于完成一些小任务,请跳过此方法。您最终可能会遇到站点漏洞。
即使您决定不进行手动更新,了解如何操作也是一个好主意。有时您可能担心更新会破坏您的网站,尤其是当您的插件尚未更新以支持最新版本的 WordPress 时。您需要在手动更新之前备份您的站点,并准备好在出现问题时卸载更新。
正如当您检查正在运行的 WordPress 版本时,您将转到仪表板。单击左侧栏中的更新,就在主页下方。您会看到 WordPress、您的插件和主题的更新状态。如果有任何内容已过时,您可以在此处更新它们。
2.添加安全插件。等等,你为什么需要安全插件?
安全插件通过扫描您的站点是否存在安全问题(包括过时的插件和待处理的 WordPress 更新)并在您的站点需要更新时向您发送电子邮件通知,为您的站点增加了另一层保护。
您仍然需要进行更新。但这样您就不会错过定期更新之间突然出现的问题。
如果您的托管计划不包括 SiteLock 等安全服务,您可以将其添加到您的站点。基本计划包括每日恶意软件扫描、自动删除扫描检测到的任何恶意软件、机器人攻击保护和基本内容交付网络,该网络可自动使用最新的 TSL/SSL 证书保护您的站点。
其他SiteLock 安全计划包括用于您的 Web 应用程序的防火墙、DDoS 攻击保护、数据库扫描和连续(而不是每天)恶意软件扫描。
3.设置自动插件更新。
如果您的插件没有自动更新选项,请考虑Easy Updates Manager 插件。是的,一个用于更新您的插件的插件——pluginception!免费版可让您将部分或全部插件设置为自动更新。这是最有效的方法,尤其是当您运行多个网站或运行具有多个插件的高流量站点时。