首页 WordPress插件正文

WordPress站点如何选择插件才是安全的

我们经常可以在新闻热搜一些真实案例证明滥用WordPress插件的危害性,其实很多时候说 WordPress 插件的安全性的时候并不会特定到某个插件,插件的不安全并不是卸载删除就能解决的,WordPress 插件带来的安全问题是多方面的,涉及的因素有很多,那么我们应该怎样选择和使用WordPress的插件呢?下面就让我们一起来看看WordPress插件的选择。

微信截图_20190522101657.png

安全插件的标准是什么?

WordPress 插件安全的标准,要明月来说叫做“绿色插件”是最安全的,所谓的“绿色插件”是指符合下述几点的插件:

纯辅助性质的。

WordPress 的影响非前端和后台的。

无需服务器本地文件存储权限。

不向数据库添加过多数据,对数据库数据交换依赖小的。

无需修改 WordPress 源代码的。

来源正规的插件

凡是符合上述这几点的 WordPress 插件就是明月所谓的“绿色插件”,基本上都是可以放心大胆使用,至于说那些插件是符合“绿色插件”标准的,只能说是具体情况具体对待了,就目前明月使用的插件里符合或者比较符合上述“绿色插件”标准的有:

Accelerated Mobile Pages(AMP 支持插件)

Custom Post Type Permalinks(伪静态化插件)

Fanly Baijiahao(WordPress 同步到百家号插件)

Fanly Toutiao(WordPress 同步至新浪微博头条文章插件)

Fanly Weibo(WordPress 同步微博)

REST API TO MiniProgram(小程序对接 API 插件)

SendCloud_Mail(搜狐第三方邮件插件)

WP-PostViews(WordPress 文章统计计数插件)

这些插件除了同步插件属于是收费插件以外,其他都是免费插件,来源都是 WordPress 官方的插件库(除了 SendCloud_Mail 属于是非官方插件库获得的,不过明月已经用了多年了,可以证明是安全的)。

大家可以自行根据我所列出的这些现在正在使用的插件来理解和消化上述所谓“绿色插件”的几条标准,因为这些插件对 WordPress 性能、安全的影响几乎是没有的,就算是有也是在可接受范围内。毕竟这些都是明月使用多年的插件了。

有安全隐患的插件标准是什么?

说到 WordPress 插件的安全隐患,我们先理解一下隐患一词的含义:

隐患就是在某个条件、事物以及事件中所存在的不稳定并且影响到个人或者他人安全利益的因素,它是一种潜藏着的因素,“隐”字体现了潜藏、隐蔽,而“患”字则体现了不好的状况。隐患可存在于许多事情中,比如学习,男女间的关系,安全生产中。

对于 WordPress 站点来说“隐患”里的“隐”是最恶心的,危害也是最大的,明月就碰到过隐藏 2 年之久的插件给站点所有文章里都植入了人眼看不到的隐藏“黑链”,要不是搜索引擎提醒“快照”有问题,可能一直都发现不了。可参考『我的一个网站被黑客挂了黑链,已解决!』和『存在于搜索引擎快照里黑链的清除』,好久以前的事儿了,但是到现在明月都记忆深刻,教训惨痛呀(对于站长来说站点被搜索引擎拉黑、降权无异于被宣告“死刑”呀)!

这种“安全隐患”插件的特点一般有如下几个特点:

有特定网站文件或者目录的写入权限

有修改数据库数据的权限

有跟站外链接的数据交换请求

符合上述三个特点的插件明月建议是慎重使用,没有必要就尽量不要使用,因为这类插件都有很强的迷惑性和隐蔽性,只要预留一个远程唤醒的后门就可以在你的站点服务器上为所欲为了,同时过多的数据库请求和站外链接请求也会严重的拖慢 WordPress 站点的运行性能,很多站长碰到的服务器动不动负载飙升大部分都是这类插件造成的,所以这类插件的安全隐患非常的突出,基本上非必要明月碰到一个就删除一个,经验看很少有“冤枉”的)。

明月目前使用的插件:Compress JPEG & PNG images(WordPress 图片自动压缩插件)就比较符合“安全隐患”的特点,因为其涉及图片文件的读写权限了,加上图片压缩数量每月只有 500 张的限制又涉及跟站外链接数据交换请求了。所以这个插件明月都一直很关注其行为表现,至少到现在为止还没有发现有可疑行为,但不能排除,依旧要时刻注意。

“安全隐患”的插件使用上对站长服务器运维水平有一定的要求,比如:有目录写入权限的插件,就要找出是哪个目录,写入什么类型的文件,是否可以禁止这个目录写入和执行源代码文件等等,站外请求数据交换是否频繁?对数据库的请求和写入频率、内容多寡这些的监控等等。所以如果是小白站长这类插件还是能不使用就不要使用为宜。

微信截图_20190522101716.png

严重不安全的插件标准是什么?

严重不安全的插件基本可以理解是严格禁用的,或者说只有在经验丰富的服务器运维人员配合下有限使用,这类插件不安全的同时还会给你的服务器带来不小的危机,比如:服务器被植入“挖矿”脚本进程成了别人发家致富的工具、入侵服务器盗取原始数据篡改代码等等。这类插件无论你是小白还是新站都不会放过,因为可以免费无偿使用你服务器的资源、IP、流量嘛!所以还在持着“自己只是个草根站长,网站新建小站点,没有价值等等”观点的要明白这个观点有多么的一厢情愿和错误。

严重不安全插件的标准特点总结如下:

网站主要文件、目录的读取、写入权限

数据库新建数据表并读取和写入记录

执行源代码文件的权限

拥有重定向网站访客请求权限

向站外链接发送和接受数据权限

插件比较著名,被很多教程推荐使用的

来源非官方插件库

所谓的破解版、免费版、泄露版等。

权限带来的安全隐患我就不多说了,在这个“严重不安全”插件呢标准里,明月感觉最有迷惑性的就是最后一条指出的网上到处流传的所谓破解版、免费版、泄露版等插件和主题,基本上这种渠道获取到的插件或者主题都会有各种“恶意代码”、“后门木马”等隐患,因为是基于“源代码”隐藏的,本地电脑上的安全软件很少有能识别和提醒的,只有在上传到服务器端特定的生产环境下这些隐患才会伺机而动起来,该唤醒后门的时候立马“里应外合”获取到服务器的写入权限甚至 root 权限开始各种需要的“篡改”行为。还是那句话“免费的是最贵”的,当被这类隐患侵袭后服务器除了“重置”基本很那恢复到“干净”状态,代价有多大,各位站长们自行脑补吧!

微信截图_20190522101734.png

至于说著名、知名插件也会有严重不安全的隐患这一条是基于“树大招风”这个理论的,一般这类插件自身是没有啥问题的,但坏就坏在“人怕出名猪怕壮”呀,名气大了自然惦记的人也就多了,正所谓“不怕贼偷就怕贼惦记”,表现在 WordPress 插件上就是会经常有各种注入扫描请求频繁来网站,甚至不少仿冒谷歌、百度搜索引擎蜘蛛爬虫 UA 的扫描请求,这些请求都是针对众多特定插件存在的漏洞或者是某种不完善的运行机制的,日积月累下来总是会被人找到致命漏洞的。并且漏洞分析和扫描并不仅仅依赖某个插件、主题,你服务器生产环境的某个组件、扩展(如 Nginx、PHP、MySQL、Memcached)的某个小漏洞都可能被人利用以达到篡改插件的代码获取到权限,上次明月碰到的安全问题就是这样的方式带来的,在 PHP 5.5 上使用 W3 Total Cache+Memcached 组合,被人很快漏洞攻击成功获取到网站根目录写入权限篡改了 PHP 源代码文件频繁的发送出大量的数据包造成服务器被运营商关停。这里 W3 Total Cache+Memcached 组合被很多教程都推荐过,明月以前也推荐过,但是目前来看这个组合很可能是个不小的安全隐患,至于具体不安全在哪里,明月还说不清楚,但“东边不亮、西边亮”只要你用了这个组合,对方一定可以找到突破的办法,无非是个时间问题而已,毕竟安全漏洞并不是官方修复的时候才是“漏洞”呀!

以上就是今天给大家介绍的WordPress站点如何选择安全的插件,如果你还想了解更多关于WordPress的知识,欢迎持续关注我们http://www.touchwordpress.com

评论