如何理解并准备WordPress安全更新

更新是麻烦。

他们打断了我们的工作流程。他们一遍又一遍地弹出我们的通知。有时它们会更改系统设置，甚至会导致其他工具和应用程序的兼容性问题。而且，最糟糕的是，当您流媒体的终点时，它们会自动重新启动计算机绝命毒师。至少，对我来说他们做到了。

尽管有这些烦恼，但深入了解，我知道更新很重要。如果您的网站使用WordPress构建，则更新是生命的一部分 - IT更新很多。

这些更新中最重要的是那些解决的更新中他们的安全问题：WordPress是迄今为止最黑客的CMS，有44％的成功攻击WordPress网站是因为过时的WordPress核心。

确保WordPress安全尽快安装更新是保持WordPress安全的基石。每个WordPress站点管理员都需要了解并应用它们。在本文中，我将讨论WordPress中的安全更新，如何为这些更新做准备，以及如何安装它们。

WordPress安全更新

WordPress安全性更新修复了可以被利用以获得未经授权访问网站后端或用户信息的错误。WordPress每年发布多个与安全相关的更新。2019年，有四个。让我们查看最近的一些修复，以了解WordPress安全更新中的内容。

WordPress 5.4.1.（2020年4月）

最新的安全更新包含修复七个安全问题。大多数这些维修地址跨网站脚本（XSS）机会。当黑客将有害的代码放入网站的文件时发生XSS，在这些文件中运行造成损坏。

具体而言，5.4.1将XSS漏洞修复了WordPress自定义程序，文件上传，从网站数据库中获取的信息，以及块（特别是搜索块）。此更新还会修补漏洞允许攻击者看到密码重置链接和专用帖子的漏洞。

看Wordfence的报告有关这些问题的更多技术审查。

WordPress 5.3.1.（2019年12月）

此更新包含许多对WordPress核心的一般性改进，包括通过WordPress创建未授权的粘帖的问题解决问题的安全修复程序REST API，以及WordPress块编辑器中的两个潜在XSS机会，并通过“精心设计的链接”。

WordPress 5.2.4（2019年10月）

WordPress 5.2.4特色修补程序在WordPress自定义程序中有2个2 XSS的机会HTML样式标签以及涉及管理员身份验证和私人帖子的问题。

您可以在其上查看WordPress安全更新的完整历史记录安全类别归档。

据我们所知，大多数这些漏洞只能在非常具体的场景中被利用。即便如此，攻击者正在不断狩猎这些机会，并且总是可能会发现将来利用这些错误的更简单方法。

如何准备WordPress安全更新

在安装WordPress安全更新（或任何WordPress Update）之前，以下是您可以采取的其他一些操作以使您的网站保持良好状态。

定期检查安全更新

经常确保您的WordPress核心，插件和主题都是一个好主意，都更新到最新版本。要验证此操作，请登录您的帐户，然后选择仪表板>更新在左边的面板。如果有可用的更新，您将看到圆形通知图标上更新按钮。

源

更新页面会告诉您已准备好安装的更新，如果有的话，并且最后一次WordPress自动检查更新。要手动检查，请单击再检查一遍。

更新您的插件和主题

您可以使用多个插件和雅致的主题增强您的WordPress设置。也许你甚至安装了一个或多个WordPress安全插件硬化你的网站。

更新WordPress核心时，确保主题和所有插件与最新版本的WordPress兼容非常重要。如果没有，这可能会扰乱您的网站的功能并将您暴露给潜在的攻击：根据WPScan，52％的成功WordPress黑客来自插件，11％来自主题。

如果你选择了高质量的插件通过维护和客户支持，更新它们不应该是一个问题。简单地安装插件更新当它们变得可用。如果它的开发人员尚未更新插件，请考虑替代选项保持最新。现在和沿着线条保持安全。

同样，保持主题更新以防止漏洞。您可以在更新页面上查看此内容仪表板>更新。再次，如果您的主题在很长时间尚未更新，请考虑将其更改为另一个。

以其他方式加强您的安全

在更新之间，您可以通过其他方式保护您的站点。这些包括:

• 确保您的登录信息：您的登录页面是您CMS的前门，因此请保持锁定强密码。如果攻击者可以在0.005秒内猜测您的登录凭据，则无论您拥有什么版本的WordPress。
• 进行定期的安全扫描：用一个信誉良好的插件要扫描您的网站，以获取恶意软件和其他攻击至关重要，可让您和您的访客安全。
• 备份您的网站：如果发生攻击或更新出错，则保持备份将限制数据丢失。许多安全插件提供文件备份。
• 使用Secure WordPress托管：选择一个信誉托管服务优先考虑安全地存储您的信息。

如何安装WordPress安全更新

有两种方法可以在WordPress中安装安全更新：自动或手动。

自动更新

安装安全更新的最简单方法是为您提供WordPress。大多数安全更新都被WordPress视为次要版本，这意味着您的网站将在启用时自动更新。

大多数时候，WordPress核心的自动更新是一个安全的选项，只要您安装了安装的最新版本和主题，就不会在网站上导致功能问题。

自动配置自动更新，请按照WordPress'指示在他们的网站上。

手动更新

自动更新是有帮助的，但更重要的更新确实需要安装，因为它们更可能导致插件和主题的兼容性问题。您可能还希望自己安装所有更新。

自行安装安全更新，从仪表板快速轻松。登录您的帐户并选择仪表板>更新。如果更新已准备就绪，请单击现在更新。等待几秒钟，你将被设置为最新版本。

10次​​，此一键选项有效。如果您的WordPress设置非常自定义，则可能需要手动安装以避免兼容性问题。要手动安装新更新，请按照WordPress网站上的说明。

在你自己更新WordPress核心之后，检查你所有的插件和主题是否仍然正常工作。如果您使用维护良好的插件和主题，并定期更新它们，这很可能不是问题。

超越安全更新

过时的WordPress网站真的没有借口。更新您的系统的不便是保护和思维与维持和平的小价。

但是，更新WordPress核心，主题和插件只有一件安全拼图。肯定是一件重要的作品，但肯定还有更多要做。通过最大限度地减少安全风险和漏洞，可以查看WordPress站点的全面步骤列表，查看我们的终极WordPress安全CheCKLIST.。