如何监控WordPress安全状态

为什么需要定期进行安全监控？

如果您是 WordPress 的普通用户，并且知道如何自定义网站，那么您将能够理解成功创建 WordPress 网站所需的所有必要措施。同时，如果您是 WordPress 网站创建新手，那么我上面解释的步骤将对您有所帮助。保护 WordPress 网站的最后一步也是最重要的一步是定期监控您的网站。

 

定期监控网站安全性的策略

现在，我想分享我的策略，用于监控拥有数百万常规访问者和流量的多个网站。该策略甚至在不到两个小时内监控了 50 多个 WordPress 网站，效果非常好。这些网站每天更新数百篇文章。尽管如此，我的策略还是帮助我在几个小时或更短的时间内保护了这些网站，同时保持了向客户承诺的安全标准。

请尝试以下步骤定期监控和保护您的 WordPress 网站。

 

步骤 1：扫描您的 WordPress 网站，查找可能感染了任何恶意软件。您可以借助安全插件快速完成此操作，我推荐使用 Wordfence 插件。

 

您还必须能够定期对您的网站进行恶意软件扫描。例如，下图 8 显示了使用 Wordfence 安全插件对网站进行的恶意软件扫描。您会看到扫描结果与您的恶意核心文件一样重要。

在 Wordfence 安全插件中的扫描选项下，您可以对您的网站运行新的扫描。结果将类似于 如上图所示，假设您的网站上发现了恶意软件。在此图中，安全插件认为某个文件是恶意的或不安全的。您应该小心，避免直接删除原始核心文件。相反，您应该将核心文件与已识别的恶意或不安全文件进行比较（通过单击“查看差异”），然后通过SFTP 连接编辑文件目录，手动删除核心文件内不必要的恶意代码。

• Wordfence 插件： https://WordPress.org/plugins/wordfence/

第 2 步：检查 WordPress 网站核心文件的完整性，这可以使用由 WordPress 社区开发的“健康检查和故障排除”插件来完成，如下图 9 所示。

此插件将检查所有 WordPress 核心文件的完整性。此外，您可以使用图 11 中显示的“检查文件完整性”选项运行此扫描，该选项位于仪表板上“工具”菜单中的“站点健康”选项下，如上图 10 所示。

如果恶意用户未经授权进行了任何更改，则可以在结果中验证，如图 11 所示。因此，必须定期执行此过程，以确保所有核心文件保持完整，以帮助安全地运行您的 WordPress 网站。

• 健康检查 & 故障排除插件： https://WordPress.org/plugins/health-check/或

• 图 11 中显示的“文件完整性”选项，该选项位于仪表板上“工具”菜单中的“站点健康”选项下，如上图 10 所示。

• 如果恶意用户未经授权进行了任何更改，则可以在结果中验证，如图 11 所示。因此，必须定期执行此过程，以确保所有核心文件保持完整，以帮助安全地运行您的 WordPress 网站。

健康检查 & 故障排除插件： https://WordPress.org/plugins/health-check/

步骤 3：定期检查您的 WordPress 网站中是否存在您不知道的文件更改；对于此监控，我推荐使用图 12 所示的网站文件更改监控插件。WP White Security 团队开发了此插件，它具有许多功能来提醒用户。

使用网站文件更改监视器插件，您可以轻松跟踪任何核心文件、任何添加的代码或网站上插件文件修改的更改。扫描完成后，结果将显示如上图 13 所示。此外，任何添加的新文件或 插件仪表板将显示对现有文件的更改以及日期和时间，以便您查看并采取适当的措施。在启动网站当天安装此插件也很重要，因为这将帮助插件存储您WordPress 网站上当前安装的文件的数据，并为将来所做的任何更改提供准确的更新。

• 网站文件更改监视器插件： https://WordPress.org/plugins/website-file-changes-monitor/ 

步骤 4：每天手动统计具有管理员、编辑和作者角色访问权限的用户数量。此操作必须手动完成， 无论您监控的用户或网站数量有多少。除了手动执行此步骤外，没有其他方法可以绕过此步骤。

您可以在上图 14 中突出显示的“用户”部分下找到具有不同访问类型的用户数量。当您识别出任何未经授权或不受信任的用户时，您可以立即从此页面删除它们。但是，如果有人通过任何过时的插件入侵网站，那么有时，网站中的恶意代码会创建一个新的管理员用户，并为不良行为者提供对网站的访问权限。我在与我的一个客户的网站合作时已经经历过同样的情况。

步骤 5：必须手动检查最近发布的帖子或页面，因为在您不知情的情况下发布的带有反向链接或其他恶意内容的匿名帖子可能会损害您的网站。

您网站上上传的所有帖子都将显示在此页面上，并在仪表板上的“帖子”菜单中突出显示“所有帖子”选项，如上图 15 所示。它们可以根据上传日期进行排序，因此可以轻松检查和验证所有最近上传的帖子。

步 6：监控所有有权访问您网站的用户的活动日志，并留意任何未经授权的关键活动、更改或新安装的插件。这可以借助插件来完成。我在这里推荐的是 WP White Security 开发的 WP Activity Log。

您可以选择位于仪表板左侧的“WP 活动日志”菜单，该菜单在图像 17 中仪表板上的“WP 活动日志”菜单中以选项“日志查看器”进一步突出显示，您可以使用该菜单根据其“严重性”列识别最近的活动，如图像中第一个下划线所示。对于此实例，您还可以在图 17 中看到“消息”列中记录了一项活动，其中 WordPress 安全插件已被停用，以及用于执行此操作的 IP 地址和用户 ID。此外，可以使用事件类型选项在此页面对活动类型进行排序，以轻松跟踪各种活动。

• WP 活动日志： https://WordPress.org/plugins/wp-security-audit-log/ 

 

步骤 7：您可以在 Chrome 浏览器上安装 Malwarebytes 扩展程序。在浏览任何网站时单击此扩展程序，它将检查您的实时网站是否存在受恶意软件、诈骗、PUP 和不需要的广告感染的代码，如下图 18 所示。

每次您都需要点击 Chrome 扩展程序图标来激活扩展程序并扫描您正在浏览的网站。此扩展程序会通知您网站上的任何过滤活动，如广告、恶意软件、诈骗、PUP 等，或您访问的任何其他网站。

• Malwarebytes 扩展： https://chrome.google.com/webstore/detail/malwarebytes-browser-guar/ihcjicgdanjaechkgeegckofjjedodee? hl=en